Отчёт: <DESKTOP-PR7DC6K>

Навигация

Cyberforum/bsod


		Версия	AIDA64 v5.90.4200/ru
		Домашняя страница	http://www.aida64.com/
		Тип отчёта	Командная строка: /CUSTOM CyberForum.rpf
		Компьютер	DESKTOP-PR7DC6K
		Генератор	brosc
		Операционная система	Microsoft Windows 10 Pro 10.0.15063.540 (Win10 RS2)
		Дата	2017-08-09
		Время	17:37

Суммарная информация


Компьютер:
	Тип компьютера	Компьютер с ACPI на базе x64
	Операционная система	Microsoft Windows 10 Pro
	Пакет обновления ОС	-
	Internet Explorer	11.540.15063.0
	Edge	40.15063.0.0
	DirectX	DirectX 12.0
	Имя компьютера	DESKTOP-PR7DC6K
	Имя пользователя	brosc
	Вход в домен	DESKTOP-PR7DC6K
	Дата / Время	2017-08-09 / 17:37

Системная плата:
	Тип ЦП	QuadCore Intel Core i5-7400, 3400 MHz (34 x 100)
	Системная плата	MSI B250M Pro-VD (MS-7A74) (2 PCI-E x1, 1 PCI-E x16, 1 M.2, 2 DDR4 DIMM, Audio, Video, Gigabit LAN)
	Чипсет системной платы	Intel Union Point B250, Intel Kaby Lake-S
	Системная память	16352 МБ (DDR4-2400 DDR4 SDRAM)
	DIMM1: Patriot Memory PSD48G24002	8 ГБ DDR4-2400 DDR4 SDRAM (18-17-17-39 @ 1200 МГц) (17-17-17-39 @ 1200 МГц) (16-16-16-38 @ 1163 МГц) (15-15-15-35 @ 1090 МГц) (14-14-14-33 @ 1018 МГц) (13-13-13-31 @ 945 МГц) (12-12-12-28 @ 872 МГц) (11-11-11-26 @ 800 МГц) (10-10-10-24 @ 727 МГц)
	DIMM3: Patriot Memory PSD48G24002	8 ГБ DDR4-2400 DDR4 SDRAM (18-17-17-39 @ 1200 МГц) (17-17-17-39 @ 1200 МГц) (16-16-16-38 @ 1163 МГц) (15-15-15-35 @ 1090 МГц) (14-14-14-33 @ 1018 МГц) (13-13-13-31 @ 945 МГц) (12-12-12-28 @ 872 МГц) (11-11-11-26 @ 800 МГц) (10-10-10-24 @ 727 МГц)
	Тип BIOS	AMI (04/06/2017)
	Коммуникационный порт	Последовательный порт (COM1)

Отображение:
	Видеоадаптер	NVIDIA GeForce GTX 1060 6GB (6 ГБ)
	Видеоадаптер	NVIDIA GeForce GTX 1060 6GB (6 ГБ)
	Видеоадаптер	NVIDIA GeForce GTX 1060 6GB (6 ГБ)
	Видеоадаптер	NVIDIA GeForce GTX 1060 6GB (6 ГБ)
	3D-акселератор	nVIDIA GeForce GTX 1060 6GB
	Монитор	LG E2250 (Analog) [22" LCD] (004NDMT1A939)

Мультимедиа:
	Звуковой адаптер	nVIDIA HDMI/DP @ nVIDIA GP106 - High Definition Audio Controller
	Звуковой адаптер	Realtek ALC887 @ Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech)

Хранение данных:
	IDE-контроллер	Intel(R) 200 Series Chipset Family SATA AHCI Controller
	Контроллер хранения данных	Контроллер дискового пространства (Майкрософт)
	Дисковый накопитель	ST1000DM010-2EP102 (1 ТБ, 7200 RPM, SATA-III)
	Дисковый накопитель	WDC WDS120G1G0B-00RC30 (120 ГБ, SATA-III)
	SMART-статус жёстких дисков	OK

Разделы:
	C: (NTFS)	111.3 ГБ (74.2 ГБ свободно)
	D: (NTFS)	931.0 ГБ (762.9 ГБ свободно)
	Общий объём	1042.4 ГБ (837.2 ГБ свободно)

Ввод:
	Клавиатура	Клавиатура HID
	Клавиатура	Клавиатура HID
	Клавиатура	Клавиатура HID
	Клавиатура	Стандартная клавиатура PS/2
	Мышь	HID-совместимая мышь
	Мышь	Мышь Microsoft PS/2

Сеть:
	Первичный адрес IP	192.168.1.35
	Первичный адрес MAC	30-9C-23-0C-F3-31
	Сетевой адаптер	Realtek PCIe GBE Family Controller (192.168.1.35)

Периферийные устройства:
	Контроллер USB1	Intel Union Point PCH - USB 3.1 xHCI Host Controller
	USB-устройство	Samson Meteor Mic
	USB-устройство	USB-устройство ввода
	USB-устройство	USB-устройство ввода
	USB-устройство	USB-устройство ввода
	USB-устройство	USB-устройство ввода
	USB-устройство	USB-устройство ввода
	USB-устройство	USB-устройство ввода
	USB-устройство	Составное USB устройство
	USB-устройство	Составное USB устройство
	USB-устройство	Составное USB устройство
	USB-устройство	Универсальный USB-концентратор

DMI:
	DMI поставщик BIOS	American Megatrends Inc.
	DMI версия BIOS	1.40
	DMI производитель системы	MSI
	DMI система	MS-7A74
	DMI системная версия	1.0
	DMI системный серийный номер	Default string
	DMI системный UUID	00000000-00000000-0000309C-230CF331
	DMI производитель системной платы	MSI
	DMI системная плата	B250M PRO-VD (MS-7A74)
	DMI версия системной платы	1.0
	DMI серийный номер системной платы	H616057511
	DMI производитель шасси	MSI
	DMI версия шасси	1.0
	DMI серийный номер шасси	Default string
	DMI Asset-тег шасси	Default string
	DMI тип шасси	Desktop Case

DMI


[ BIOS ]

	Свойства BIOS:
		Производитель	American Megatrends Inc.
		Версия	1.40
		Дата выпуска	04/06/2017
		Размер	8 МБ
		Версия BIOS системы	5.12
		Загрузочные устройства	Floppy Disk, Hard Disk, CD-ROM
		Возможности	Flash BIOS, Shadow BIOS, Selectable Boot, EDD, BBS
		Поддерживаемые стандарты	DMI, ACPI, UEFI
		Возможности расширения	PCI, USB
		Виртуальная машина	Нет

	Производитель BIOS:
		Фирма	American Megatrends Inc.
		Информация о продукте	http://www.ami.com/amibios
		Модернизации BIOS	http://www.aida64.com/bios-updates

[ Система ]

	Свойства системы:
		Производитель	MSI
		Продукт	MS-7A74
		Версия	1.0
		Серийный номер	Default string
		SKU#	Default string
		Семейство	Default string
		Универсальный уникальный ID	00000000-00000000-0000309C-230CF331
		Тип пробуждения	Выключение питания

[ Системная плата ]

	Свойства системной платы:
		Производитель	MSI
		Продукт	B250M PRO-VD (MS-7A74)
		Версия	1.0
		Серийный номер	H616057511
		Тег имущества	Default string

	Производитель системной платы:
		Фирма	Micro-Star Int'l Co.,Ltd.
		Информация о продукте	https://www.msi.com/Motherboards
		Загрузка обновлений BIOS	https://www.msi.com/support#support_download
		Обновление драйверов	http://www.aida64.com/driver-updates
		Модернизации BIOS	http://www.aida64.com/bios-updates

[ Шасси ]

	Свойства шасси:
		Производитель	MSI
		Версия	1.0
		Серийный номер	Default string
		Тег имущества	Default string
		Тип шасси	Настольный
		Состояние загрузки ОС	Безопасный
		Состояние источника питания	Безопасный
		Температурное состояние	Безопасный
		Состояние безопасности	Нет

[ Процессоры / Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz ]

	Свойства процессора:
		Производитель	Intel(R) Corporation
		Версия	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
		Серийный номер	To Be Filled By O.E.M.
		Тег имущества	To Be Filled By O.E.M.
		Шифр компонента	To Be Filled By O.E.M.
		Внешняя частота	100 МГц
		Максимальная частота	8300 МГц
		Текущая частота	3000 МГц
		Тип	Central Processor
		Напряжение питания	0.8 V
		Статус	Разрешено
		Тип разъёма	U3E1
		HTT / CMP	1 / 4
		Возможности	64-bit, Multi-Core, Execute Protection, Enhanced Virtualization, Power/Performance Control

	Производитель ЦП:
		Фирма	Intel Corporation
		Информация о продукте	http://ark.intel.com/search.aspx?q=Intel%20Core%20i5-7400
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Кэш-память / L1 Cache ]

	Свойства кэша:
		Тип	Unified
		Статус	Разрешено
		Режим работы	Write-Back
		Ассоциативность	8-way Set-Associative
		Максимальный объём	256 КБ
		Установленный объём	256 КБ
		Поддерживаемый тип SRAM	Synchronous
		Текущий тип SRAM	Synchronous
		Коррекция ошибок	Parity
		Тип разъёма	Кэш L1

[ Кэш-память / L2 Cache ]

	Свойства кэша:
		Тип	Unified
		Статус	Разрешено
		Режим работы	Write-Back
		Ассоциативность	4-way Set-Associative
		Максимальный объём	1 МБ
		Установленный объём	1 МБ
		Поддерживаемый тип SRAM	Synchronous
		Текущий тип SRAM	Synchronous
		Коррекция ошибок	Single-bit ECC
		Тип разъёма	Кэш L2

[ Кэш-память / L3 Cache ]

	Свойства кэша:
		Тип	Unified
		Статус	Разрешено
		Режим работы	Write-Back
		Ассоциативность	12-way Set-Associative
		Максимальный объём	6 МБ
		Установленный объём	6 МБ
		Поддерживаемый тип SRAM	Synchronous
		Текущий тип SRAM	Synchronous
		Коррекция ошибок	Multi-bit ECC
		Тип разъёма	Кэш L3

[ Массивы памяти / System Memory ]

	Свойства массива памяти:
		Размещение	Системная плата
		Функция массива памяти	Системная память
		Коррекция ошибок	Нет
		Макс. объём памяти	64 ГБ
		Устройства памяти	4

[ Устройства памяти / ChannelA-DIMM0 ]

	Свойства устройства памяти:
		Форм-фактор	DIMM
		Тип	DDR4
		Тип	Synchronous, Unbuffered
		Размер	8 ГБ
		Макс. частота	2400 MT/s
		Текущая частота	2400 MT/s
		Общая ширина	64 бит
		Ширина данных	64 бит
		Ranks	2
		Текущее напряжение	1.200 V
		Размещение	ChannelA-DIMM0
		Банк	BANK 0
		Производитель	8502
		Серийный номер	00000000
		Тег имущества	9876543210
		Шифр компонента	PSD48G24002

[ Устройства памяти / ChannelA-DIMM1 ]

	Свойства устройства памяти:
		Размещение	ChannelA-DIMM1
		Банк	BANK 1

[ Устройства памяти / ChannelB-DIMM0 ]

	Свойства устройства памяти:
		Форм-фактор	DIMM
		Тип	DDR4
		Тип	Synchronous, Unbuffered
		Размер	8 ГБ
		Макс. частота	2400 MT/s
		Текущая частота	2400 MT/s
		Общая ширина	64 бит
		Ширина данных	64 бит
		Ranks	2
		Текущее напряжение	1.200 V
		Размещение	ChannelB-DIMM0
		Банк	BANK 2
		Производитель	8502
		Серийный номер	00000000
		Тег имущества	9876543210
		Шифр компонента	PSD48G24002

[ Устройства памяти / ChannelB-DIMM1 ]

	Свойства устройства памяти:
		Размещение	ChannelB-DIMM1
		Банк	BANK 3

[ Системные разъёмы / J6B2 ]

	Свойства системного разъёма:
		Назначение разъёма	J6B2
		Тип	PCI-E
		Использование	Используется
		Ширина шины данных	x16
		Длина	Длинный

[ Системные разъёмы / J6B1 ]

	Свойства системного разъёма:
		Назначение разъёма	J6B1
		Тип	PCI-E
		Использование	Используется
		Ширина шины данных	x1
		Длина	Короткий

[ Системные разъёмы / J6D1 ]

	Свойства системного разъёма:
		Назначение разъёма	J6D1
		Тип	PCI-E
		Использование	Используется
		Ширина шины данных	x1
		Длина	Короткий

[ Системные разъёмы / J7B1 ]

	Свойства системного разъёма:
		Назначение разъёма	J7B1
		Тип	PCI-E
		Использование	Используется
		Ширина шины данных	x1
		Длина	Короткий

[ Системные разъёмы / J8B4 ]

	Свойства системного разъёма:
		Назначение разъёма	J8B4
		Тип	PCI-E
		Использование	Используется
		Ширина шины данных	x1
		Длина	Короткий

[ Системные разъёмы / J8D1 ]

	Свойства системного разъёма:
		Назначение разъёма	J8D1
		Тип	PCI-E
		Использование	Используется
		Ширина шины данных	x1
		Длина	Короткий

[ Системные разъёмы / J8B3 ]

	Свойства системного разъёма:
		Назначение разъёма	J8B3
		Тип	PCI
		Использование	Используется
		Ширина шины данных	32-bit
		Длина	Короткий

[ Разъёмы портов / PS2Mouse ]

	Свойства разъёма порта:
		Тип порта	Mouse Port
		Внутреннее обозначение	J1A1
		Внутренний тип разъёма	Нет
		Внешнее обозначение	PS2Mouse
		Внешний тип разъёма	PS/2

[ Разъёмы портов / Keyboard ]

	Свойства разъёма порта:
		Тип порта	Keyboard Port
		Внутреннее обозначение	J1A1
		Внутренний тип разъёма	Нет
		Внешнее обозначение	Клавиатура
		Внешний тип разъёма	PS/2

[ Разъёмы портов / TV Out ]

	Свойства разъёма порта:
		Внутреннее обозначение	J2A1
		Внутренний тип разъёма	Нет
		Внешнее обозначение	TV Out
		Внешний тип разъёма	Mini-Centronics Type-14

[ Разъёмы портов / COM A ]

	Свойства разъёма порта:
		Тип порта	Serial Port 16550A Compatible
		Внутреннее обозначение	J2A2A
		Внутренний тип разъёма	Нет
		Внешнее обозначение	COM A
		Внешний тип разъёма	DB-9 pin male

[ Разъёмы портов / Video ]

	Свойства разъёма порта:
		Тип порта	Video Port
		Внутреннее обозначение	J2A2B
		Внутренний тип разъёма	Нет
		Внешнее обозначение	Video
		Внешний тип разъёма	DB-15 pin female

[ Разъёмы портов / USB1 ]

	Свойства разъёма порта:
		Тип порта	USB
		Внутреннее обозначение	J3A1
		Внутренний тип разъёма	Нет
		Внешнее обозначение	USB1
		Внешний тип разъёма	USB

[ Разъёмы портов / J9A1 - TPM HDR ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9A1 - TPM HDR
		Внешний тип разъёма	Нет

[ Разъёмы портов / J9C1 - PCIE DOCKING CONN ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9C1 - PCIE DOCKING CONN
		Внешний тип разъёма	Нет

[ Разъёмы портов / J2B3 - CPU FAN ]

	Свойства разъёма порта:
		Внутреннее обозначение	J2B3 - CPU FAN
		Внешний тип разъёма	Нет

[ Разъёмы портов / J6C2 - EXT HDMI ]

	Свойства разъёма порта:
		Внутреннее обозначение	J6C2 - EXT HDMI
		Внешний тип разъёма	Нет

[ Разъёмы портов / J3C1 - GMCH FAN ]

	Свойства разъёма порта:
		Внутреннее обозначение	J3C1 - GMCH FAN
		Внешний тип разъёма	Нет

[ Разъёмы портов / J1D1 - ITP ]

	Свойства разъёма порта:
		Внутреннее обозначение	J1D1 - ITP
		Внешний тип разъёма	Нет

[ Разъёмы портов / J9E2 - MDC INTPSR ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9E2 - MDC INTPSR
		Внешний тип разъёма	Нет

[ Разъёмы портов / J9E4 - MDC INTPSR ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9E4 - MDC INTPSR
		Внешний тип разъёма	Нет

[ Разъёмы портов / J9E3 - LPC HOT DOCKING ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9E3 - LPC HOT DOCKING
		Внешний тип разъёма	Нет

[ Разъёмы портов / J9E1 - SCAN MATRIX ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9E1 - SCAN MATRIX
		Внешний тип разъёма	Нет

[ Разъёмы портов / J9G1 - LPC SIDE BAND ]

	Свойства разъёма порта:
		Внутреннее обозначение	J9G1 - LPC SIDE BAND
		Внешний тип разъёма	Нет

[ Разъёмы портов / J8F1 - UNIFIED ]

	Свойства разъёма порта:
		Внутреннее обозначение	J8F1 - UNIFIED
		Внешний тип разъёма	Нет

[ Разъёмы портов / J6F1 - LVDS ]

	Свойства разъёма порта:
		Внутреннее обозначение	J6F1 - LVDS
		Внешний тип разъёма	Нет

[ Разъёмы портов / J2F1 - LAI FAN ]

	Свойства разъёма порта:
		Внутреннее обозначение	J2F1 - LAI FAN
		Внешний тип разъёма	Нет

[ Разъёмы портов / J2G1 - GFX VID ]

	Свойства разъёма порта:
		Внутреннее обозначение	J2G1 - GFX VID
		Внешний тип разъёма	Нет

[ Разъёмы портов / J1G6 - AC JACK ]

	Свойства разъёма порта:
		Внутреннее обозначение	J1G6 - AC JACK
		Внешний тип разъёма	Нет

[ Встроенные устройства / Onboard IGD ]

	Свойства встроенного устройства:
		Описание	Onboard IGD
		Тип	Video
		Статус	Разрешено
		Шина / Устройство / Функция	0 / 2 / 0

[ Встроенные устройства / Onboard LAN ]

	Свойства встроенного устройства:
		Описание	Onboard LAN
		Тип	Ethernet
		Статус	Разрешено
		Шина / Устройство / Функция	0 / 25 / 0

[ Встроенные устройства / Onboard 1394 ]

	Свойства встроенного устройства:
		Описание	Onboard 1394
		Статус	Разрешено
		Шина / Устройство / Функция	3 / 28 / 2

[ Источники питания / To Be Filled By O.E.M. ]

	Свойства источника питания:
		Имя устройства	To Be Filled By O.E.M.
		Производитель	To Be Filled By O.E.M.
		Серийный номер	To Be Filled By O.E.M.
		Тег имущества	To Be Filled By O.E.M.
		Шифр компонента	To Be Filled By O.E.M.
		Тип	Switching
		Размещение	To Be Filled By O.E.M.
		Статус	OK
		Горячая замена	Нет

[ Датчики температуры / LM78A ]

	Свойства устройства:
		Описание устройства	LM78A
		Размещение	Системная плата
		Статус	OK

[ Датчики температуры / LM78A ]

	Свойства устройства:
		Описание устройства	LM78A
		Размещение	Power Unit
		Статус	OK

[ Датчики напряжения / LM78A ]

	Свойства устройства:
		Описание устройства	LM78A
		Размещение	Системная плата
		Статус	OK

[ Датчики напряжения / LM78A ]

	Свойства устройства:
		Описание устройства	LM78A
		Размещение	Power Unit
		Статус	OK

[ Датчики тока / ABC ]

	Свойства устройства:
		Описание устройства	ABC
		Размещение	Системная плата
		Статус	OK

[ Датчики тока / ABC ]

	Свойства устройства:
		Описание устройства	ABC
		Размещение	Power Unit
		Статус	OK

[ Cooling Device / Cooling Dev 1 ]

	Свойства устройства:
		Описание устройства	Cooling Dev 1
		Тип устройства	Power Supply Fan
		Статус	OK

[ Cooling Device / Cooling Device #2 ]

	Свойства устройства:
		Тип устройства	Power Supply Fan
		Статус	OK

[ Cooling Device / Cooling Dev 1 ]

	Свойства устройства:
		Описание устройства	Cooling Dev 1
		Тип устройства	Power Supply Fan
		Статус	OK

[ Устройства управления / LM78-1 ]

	Свойства устройства управления:
		Описание	LM78-1

[ Intel AMT ]

	Свойства Intel AMT:
		Intel AMT	Не поддерживается
		IDE Redirection	Запрещено
		SOL	Запрещено
		Сетевой интерфейс AMT	Запрещено

[ Intel vPro ]

	Свойства Intel vPro:
		Версия ME-прошивки	11.6.25.1229
		PCH PCI Bus / Device / Function	0 / 31 / 0
		PCH PCI Device ID	8086-A2C8
		Wired NIC PCI Bus / Device / Function	0 / 31 / 6
		Wired NIC PCI Device ID	8086-FFFF
		AMT	Не поддерживается
		Anti-Theft	Не поддерживается
		Anti-Theft PBA for Recovery	Не поддерживается
		Anti-Theft WWAN	Не поддерживается
		BIOS TXT	Не поддерживается
		BIOS VT-d	Поддерживается
		BIOS VT-x	Поддерживается
		CPU VT-x	Поддерживается, Разрешено
		CPU TXT	Не поддерживается
		KVM	Не поддерживается
		Local Wakeup Timer	Не поддерживается
		Management Engine	Разрешено
		Small Business Advantage	Не поддерживается
		Standard Manageability	Не поддерживается

[ Разное ]

	Разное:
		OEM String	Default string
		System Configuration Option	Default string

Разгон


Свойства ЦП:
	Тип ЦП	QuadCore Intel Core i5-7400
	Псевдоним ЦП	Kaby Lake-S
	Степпинг ЦП	B0
	Engineering Sample	Нет
	Имя ЦП CPUID	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
	Версия CPUID	000906E9h
	CPU VID	0.8439 V

Частота ЦП:
	Частота ЦП	3392.5 MHz (исходное: 3000 MHz, pазгон: 13%)
	Множитель ЦП	34x
	CPU FSB	99.8 MHz (исходное: 100 MHz)
	Частота северного моста	2494.5 MHz
	Частота System Agent	997.8 MHz
	Шина памяти	1197.4 MHz
	Соотношение DRAM:FSB	36:3

Кэш ЦП:
	Кэш L1 кода	32 КБ per core
	Кэш L1 данных	32 КБ per core
	Кэш L2	256 КБ per core (On-Die, ECC, Full-Speed)
	Кэш L3	6 МБ (On-Die, ECC, Full-Speed)

Свойства системной платы:
	ID системной платы	63-0100-000001-00101111-040416-Chipset$0AAAA000_BIOS DATE: 04/06/17 18:36:46 VER: V1.40
	Системная плата	MSI B250M Pro-VD (MS-7A74) (2 PCI-E x1, 1 PCI-E x16, 1 M.2, 2 DDR4 DIMM, Audio, Video, Gigabit LAN)

Свойства набора микросхем (чипсета):
	Чипсет системной платы	Intel Union Point B250, Intel Kaby Lake-S
	Тайминги памяти	17-17-17-39 (CL-RCD-RP-RAS)
	Command Rate (CR)	2T
	DIMM1: Patriot Memory PSD48G24002	8 ГБ DDR4-2400 DDR4 SDRAM (18-17-17-39 @ 1200 МГц) (17-17-17-39 @ 1200 МГц) (16-16-16-38 @ 1163 МГц) (15-15-15-35 @ 1090 МГц) (14-14-14-33 @ 1018 МГц) (13-13-13-31 @ 945 МГц) (12-12-12-28 @ 872 МГц) (11-11-11-26 @ 800 МГц) (10-10-10-24 @ 727 МГц)
	DIMM3: Patriot Memory PSD48G24002	8 ГБ DDR4-2400 DDR4 SDRAM (18-17-17-39 @ 1200 МГц) (17-17-17-39 @ 1200 МГц) (16-16-16-38 @ 1163 МГц) (15-15-15-35 @ 1090 МГц) (14-14-14-33 @ 1018 МГц) (13-13-13-31 @ 945 МГц) (12-12-12-28 @ 872 МГц) (11-11-11-26 @ 800 МГц) (10-10-10-24 @ 727 МГц)

Свойства BIOS:
	Дата BIOS системы	04/06/2017
	Дата BIOS видеоадаптера	01/16/17
	DMI версия BIOS	1.40

Свойства графического процессора:
	Видеоадаптер	MSI GTX 1060 Armor 6G OC (MS-V328)
	Кодовое название ГП	GP106-400 (PCI Express 3.0 x16 10DE / 1C03, Rev A1)
	Частота ГП	139 МГц
	Частота памяти	202 МГц

Датчики


Свойства датчика:
	Тип датчика	Nuvoton NCT5565D (ISA A20h)
	Тип датчика ГП	Diode (NV-Diode)
	Системная плата	MSI MS-7A57 / 7A58 / 7A59 / 7A62 / 7A63 / 7A64 / 7A65 / 7A66 / 7A67 / 7A68 / 7A69 / 7A70 / 7A71 / 7A72 / 7A74 / 7A75 / 7A78 / 7A98
	Обнаружено вскрытие корпуса	Да

Температуры:
	Системная плата	46 °C (115 °F)
	ЦП	53 °C (127 °F)
	CPU Package	54 °C (129 °F)
	CPU IA Cores	54 °C (129 °F)
	CPU GT Cores	52 °C (126 °F)
	ЦП 1 / Ядро 1	53 °C (127 °F)
	ЦП 1 / Ядро 2	53 °C (127 °F)
	ЦП 1 / Ядро 3	52 °C (126 °F)
	ЦП 1 / Ядро 4	52 °C (126 °F)
	Диод PCH	54 °C (128 °F)
	Диод ГП	46 °C (115 °F)
	WDC WDS120G1G0B-00RC30	38 °C (100 °F)
	ST1000DM010-2EP102	38 °C (100 °F)

Вентиляторы:
	ЦП2	1092 RPM
	Графический процессор	0 RPM (0%)

Напряжения:
	Ядро ЦП	0.816 V
	CPU VID	0.858 V
	+3.3 V	3.392 V
	+5 V	5.160 V
	+12 V	12.096 V
	Ядро PCH	1.008 V
	Ядро ГП	0.625 V

Значения мощности:
	CPU Package	15.21 W
	CPU IA Cores	4.02 W
	CPU Uncore	9.97 W
	DIMM	1.22 W
	GPU TDP%	7%
	Debug Info F	0 1092 0 0 0 0
	Debug Info T	109 127 00
	Debug Info V	66 81 D7 D4 7E 14 19 (03) / 66 81 D7 D4 7E 14 19 D7 / 00 7F 14 11 7E 14 C3 00
	Debug Info I	08 D352

ЦП


Свойства ЦП:
	Тип ЦП	QuadCore Intel Core i5-7400, 3400 MHz (34 x 100)
	Псевдоним ЦП	Kaby Lake-S
	Степпинг ЦП	B0
	Наборы инструкций	x86, x86-64, MMX, SSE, SSE2, SSE3, SSSE3, SSE4.1, SSE4.2, AVX, AVX2, FMA, AES
	Исходная частота	3000 МГц
	Мин./макс. множитель ЦП	8x / 30x
	Engineering Sample	Нет
	Кэш L1 кода	32 КБ per core
	Кэш L1 данных	32 КБ per core
	Кэш L2	256 КБ per core (On-Die, ECC, Full-Speed)
	Кэш L3	6 МБ (On-Die, ECC, Full-Speed)

Физическая информация о ЦП:
	Тип корпуса	1151 Contact FC-LGA
	Размеры корпуса	37.5 mm x 37.5 mm
	Технологический процесс	13MiM, 14 nm, CMOS, Cu, High-K + Metal Gate
	Типичная мощность	65 W

Производитель ЦП:
	Фирма	Intel Corporation
	Информация о продукте	http://ark.intel.com/search.aspx?q=Intel%20Core%20i5-7400
	Обновление драйверов	http://www.aida64.com/driver-updates

Multi CPU:
	ID системной платы	A M I ALASKA
	CPU #1	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz, 3000 МГц
	CPU #2	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz, 3000 МГц
	CPU #3	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz, 3000 МГц
	CPU #4	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz, 3000 МГц

Загрузка ЦП:
	ЦП 1 / Ядро 1	0%
	ЦП 1 / Ядро 2	33%
	ЦП 1 / Ядро 3	0%
	ЦП 1 / Ядро 4	33%

CPUID


Свойства CPUID:
	Производитель CPUID	GenuineIntel
	Имя ЦП CPUID	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
	Версия CPUID	000906E9h
	Идентификатор марки IA	00h (Неизвестно)
	Идентификатор платформы	40h / MC 02h (LGA1151)
	Версия обновления микрокода	48h
	HTT / CMP	0 / 4
	Температура Tjmax	100 °C (212 °F)
	CPU Thermal Design Power	65 W
	CPU Max Power Limit	Unlimited Power / Unlimited Time
	CPU Power Limit 1 (Long Duration)	90 W / 16.00 sec (Unlocked)
	CPU Power Limit 2 (Short Duration)	110 W / 2.44 ms (Unlocked)
	Max Turbo Boost Multipliers	1C: 35x, 2C: 34x, 3C: 34x, 4C: 33x

Наборы инструкций:
	64-бит x86-расширение (AMD64, Intel64)	Поддерживается
	AMD 3DNow!	Не поддерживается
	AMD 3DNow! Professional	Не поддерживается
	AMD 3DNowPrefetch	Поддерживается
	AMD Enhanced 3DNow!	Не поддерживается
	AMD Extended MMX	Не поддерживается
	AMD FMA4	Не поддерживается
	AMD MisAligned SSE	Не поддерживается
	AMD SSE4A	Не поддерживается
	AMD XOP	Не поддерживается
	Cyrix Extended MMX	Не поддерживается
	Enhanced REP MOVSB/STOSB	Поддерживается
	Float-16 Conversion Instructions	Поддерживается, Разрешено
	IA-64	Не поддерживается
	IA AES Extensions	Поддерживается
	IA AVX	Поддерживается, Разрешено
	IA AVX2	Поддерживается, Разрешено
	IA AVX-512 (AVX512F)	Не поддерживается
	IA AVX-512 52-bit Integer Instructions (AVX512IFMA52)	Не поддерживается
	IA AVX-512 Byte and Word Instructions (AVX512BW)	Не поддерживается
	IA AVX-512 Conflict Detection Instructions (AVX512CD)	Не поддерживается
	IA AVX-512 Doubleword and Quadword Instructions (AVX512DQ)	Не поддерживается
	IA AVX-512 Exponential and Reciprocal Instructions (AVX512ER)	Не поддерживается
	IA AVX-512 FMAPS (AVX512_4FMAPS)	Не поддерживается
	IA AVX-512 Neural Network Instructions (AVX512_4VNNIW)	Не поддерживается
	IA AVX-512 Prefetch Instructions (AVX512PF)	Не поддерживается
	IA AVX-512 Vector Bit Manipulation Instructions (AVX512VBMI)	Не поддерживается
	IA AVX-512 Vector Length Extensions (AVX512VL)	Не поддерживается
	IA AVX-512 VPOPCNTDQ	Не поддерживается
	IA BMI1	Поддерживается
	IA BMI2	Поддерживается
	IA FMA	Поддерживается, Разрешено
	IA MMX	Поддерживается
	IA SHA Extensions	Не поддерживается
	IA SSE	Поддерживается
	IA SSE2	Поддерживается
	IA SSE3	Поддерживается
	IA Supplemental SSE3	Поддерживается
	IA SSE4.1	Поддерживается
	IA SSE4.2	Поддерживается
	VIA Alternate Instruction Set	Не поддерживается
	Инструкция ADCX / ADOX	Поддерживается
	Инструкция CLFLUSH	Поддерживается
	Инструкция CLFLUSHOPT	Поддерживается
	Инструкция CLWB	Не поддерживается
	Инструкция CMPXCHG8B	Поддерживается
	Инструкция CMPXCHG16B	Поддерживается
	Инструкция Conditional Move	Поддерживается
	Инструкция INVPCID	Поддерживается
	Инструкция LAHF / SAHF	Поддерживается
	Инструкция LZCNT	Поддерживается
	Инструкция MONITOR / MWAIT	Поддерживается
	Инструкция MONITORX / MWAITX	Не поддерживается
	Инструкция MOVBE	Поддерживается
	Инструкция PCLMULQDQ	Поддерживается
	Инструкция PCOMMIT	Не поддерживается
	Инструкция POPCNT	Поддерживается
	Инструкция PREFETCHWT1	Не поддерживается
	Инструкция RDFSBASE / RDGSBASE / WRFSBASE / WRGSBASE	Поддерживается
	Инструкция RDRAND	Поддерживается
	Инструкция RDSEED	Поддерживается
	Инструкция RDTSCP	Поддерживается
	Инструкция SKINIT / STGI	Не поддерживается
	Инструкция SYSCALL / SYSRET	Не поддерживается
	Инструкция SYSENTER / SYSEXIT	Поддерживается
	Trailing Bit Manipulation Instructions	Не поддерживается
	Инструкция VIA FEMMS	Не поддерживается

Функции безопасности:
	Advanced Cryptography Engine (ACE)	Не поддерживается
	Advanced Cryptography Engine 2 (ACE2)	Не поддерживается
	Control-flow Enforcement Technology (CET)	Не поддерживается
	Запрет исполнения данных (DEP, NX, EDB)	Поддерживается
	Hardware Random Number Generator (RNG)	Не поддерживается
	Hardware Random Number Generator 2 (RNG2)	Не поддерживается
	Memory Protection Extensions (MPX)	Поддерживается
	PadLock Hash Engine (PHE)	Не поддерживается
	PadLock Hash Engine 2 (PHE2)	Не поддерживается
	PadLock Montgomery Multiplier (PMM)	Не поддерживается
	PadLock Montgomery Multiplier 2 (PMM2)	Не поддерживается
	Серийный номер процессора (PSN)	Не поддерживается
	Protection Keys for User-Mode Pages (PKU)	Не поддерживается
	Read Processor ID (RDPID)	Не поддерживается
	Safer Mode Extensions (SMX)	Не поддерживается
	Secure Memory Encryption (SME)	Не поддерживается
	SGX Launch Configuration (SGX_LC)	Не поддерживается
	Software Guard Extensions (SGX)	Поддерживается
	Supervisor Mode Access Prevention (SMAP)	Поддерживается
	Supervisor Mode Execution Protection (SMEP)	Поддерживается
	User-Mode Instruction Prevention (UMIP)	Не поддерживается

Функции электропитания:
	APM Power Reporting	Не поддерживается
	Application Power Management (APM)	Не поддерживается
	Automatic Clock Control	Поддерживается
	Configurable TDP (cTDP)	Не поддерживается
	Connected Standby	Не поддерживается
	Core C6 State (CC6)	Не поддерживается
	Digital Thermometer	Поддерживается
	Dynamic FSB Frequency Switching	Не поддерживается
	Enhanced Halt State (C1E)	Поддерживается, Запрещено
	Enhanced SpeedStep Technology (EIST, ESS)	Поддерживается, Разрешено
	Frequency ID Control	Не поддерживается
	Hardware P-State Control	Не поддерживается
	Hardware Thermal Control (HTC)	Не поддерживается
	LongRun	Не поддерживается
	LongRun Table Interface	Не поддерживается
	Overstress	Не поддерживается
	Package C6 State (PC6)	Не поддерживается
	Parallax	Не поддерживается
	PowerSaver 1.0	Не поддерживается
	PowerSaver 2.0	Не поддерживается
	PowerSaver 3.0	Не поддерживается
	Processor Duty Cycle Control	Поддерживается
	Running Average Power Limit (RAPL)	Не поддерживается
	Software Thermal Control	Не поддерживается
	SpeedShift (SST, HWP)	Поддерживается, Разрешено (Autonomous Mode)
	Термодиод	Не поддерживается
	Thermal Monitor 1	Поддерживается
	Thermal Monitor 2	Поддерживается
	Thermal Monitor 3	Не поддерживается
	Thermal Monitoring	Не поддерживается
	Thermal Trip	Не поддерживается
	Voltage ID Control	Не поддерживается

Функции виртуализации:
	Encrypted State (SEV-ES)	Не поддерживается
	Extended Page Table (EPT)	Поддерживается
	Hypervisor	Нет
	Инструкция INVEPT	Поддерживается
	Инструкция INVVPID	Поддерживается
	Nested Paging (NPT, RVI)	Не поддерживается
	Secure Encrypted Virtualization (SEV)	Не поддерживается
	Secure Virtual Machine (SVM, Pacifica)	Не поддерживается
	Virtual Machine Extensions (VMX, Vanderpool)	Поддерживается
	Virtual Processor ID (VPID)	Поддерживается

Функции CPUID:
	1 GB Page Size	Поддерживается
	36-bit Page Size Extension	Поддерживается
	5-Level Paging	Не поддерживается
	64-bit DS Area	Поддерживается
	Adaptive Overclocking	Не поддерживается
	Address Region Registers (ARR)	Не поддерживается
	Code and Data Prioritization Technology (CDP)	Не поддерживается
	Core Performance Boost (CPB)	Не поддерживается
	Core Performance Counters	Не поддерживается
	CPL Qualified Debug Store	Поддерживается
	Data Breakpoint Extension	Не поддерживается
	Debug Trace Store	Поддерживается
	Debugging Extension	Поддерживается
	Deprecated FPU CS and FPU DS	Поддерживается
	Direct Cache Access	Не поддерживается
	Dynamic Acceleration Technology (IDA)	Не поддерживается
	Dynamic Configurable TDP (DcTDP)	Не поддерживается
	Extended APIC Register Space	Не поддерживается
	Fast Save & Restore	Поддерживается
	Hardware Lock Elision (HLE)	Не поддерживается
	Hybrid Boost	Не поддерживается
	Hyper-Threading Technology (HTT)	Не поддерживается
	Instruction Based Sampling	Не поддерживается
	Invariant Time Stamp Counter	Поддерживается
	L1 Context ID	Не поддерживается
	L2I Performance Counters	Не поддерживается
	Lightweight Profiling	Не поддерживается
	Local APIC On Chip	Поддерживается
	Machine Check Architecture (MCA)	Поддерживается
	Machine Check Exception (MCE)	Поддерживается
	Memory Configuration Registers (MCR)	Не поддерживается
	Memory Type Range Registers (MTRR)	Поддерживается
	Model Specific Registers (MSR)	Поддерживается
	NB Performance Counters	Не поддерживается
	Page Attribute Table (PAT)	Поддерживается
	Page Global Extension	Поддерживается
	Page Size Extension (PSE)	Поддерживается
	Pending Break Event (PBE)	Поддерживается
	Performance Time Stamp Counter (PTSC)	Не поддерживается
	Physical Address Extension (PAE)	Поддерживается
	Platform Quality of Service Enforcement (PQE)	Не поддерживается
	Platform Quality of Service Monitoring (PQM)	Не поддерживается
	Process Context Identifiers (PCID)	Поддерживается
	Processor Feedback Interface	Не поддерживается
	Processor Trace (PT)	Поддерживается
	Restricted Transactional Memory (RTM)	Не поддерживается
	Self-Snoop	Поддерживается
	Time Stamp Counter (TSC)	Поддерживается
	Time Stamp Counter Adjust	Поддерживается
	Turbo Boost	Поддерживается, Разрешено
	Virtual Mode Extension	Поддерживается
	Watchdog Timer	Не поддерживается
	x2APIC	Поддерживается, Запрещено
	XGETBV / XSETBV OS Enabled	Поддерживается
	XSAVE / XRSTOR / XSETBV / XGETBV Extended States	Поддерживается
	XSAVEOPT	Поддерживается

CPUID Registers (CPU #1):
	CPUID 00000000	00000016-756E6547-6C65746E-49656E69 [GenuineIntel]
	CPUID 00000001	000906E9-00100800-7FFAFBBF-BFEBFBFF
	CPUID 00000002	76036301-00F0B6FF-00000000-00C30000
	CPUID 00000003	00000000-00000000-00000000-00000000
	CPUID 00000004	1C004121-01C0003F-0000003F-00000000 [SL 00]
	CPUID 00000004	1C004122-01C0003F-0000003F-00000000 [SL 01]
	CPUID 00000004	1C004143-00C0003F-000003FF-00000000 [SL 02]
	CPUID 00000004	1C03C163-02C0003F-00001FFF-00000006 [SL 03]
	CPUID 00000005	00000040-00000040-00000003-00142120
	CPUID 00000006	000027F7-00000002-00000001-00000000
	CPUID 00000007	00000000-029C67AF-00000000-00000000
	CPUID 00000008	00000000-00000000-00000000-00000000
	CPUID 00000009	00000000-00000000-00000000-00000000
	CPUID 0000000A	07300804-00000000-00000000-00000603
	CPUID 0000000B	00000001-00000001-00000100-00000000 [SL 00]
	CPUID 0000000B	00000004-00000004-00000201-00000000 [SL 01]
	CPUID 0000000C	00000000-00000000-00000000-00000000
	CPUID 0000000D	0000001F-00000440-00000440-00000000 [SL 00]
	CPUID 0000000D	0000000F-000003C0-00000100-00000000 [SL 01]
	CPUID 0000000D	00000100-00000240-00000000-00000000 [SL 02]
	CPUID 0000000D	00000040-000003C0-00000000-00000000 [SL 03]
	CPUID 0000000D	00000040-00000400-00000000-00000000 [SL 04]
	CPUID 0000000E	00000000-00000000-00000000-00000000
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000011	00000000-00000000-00000000-00000000
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000013	00000000-00000000-00000000-00000000
	CPUID 00000014	00000001-0000000F-00000007-00000000 [SL 00]
	CPUID 00000014	02490002-003F3FFF-00000000-00000000 [SL 01]
	CPUID 00000015	00000002-000000FA-00000000-00000000
	CPUID 00000016	00000BB8-00000DAC-00000064-00000000
	CPUID 80000000	80000008-00000000-00000000-00000000
	CPUID 80000001	00000000-00000000-00000121-2C100000
	CPUID 80000002	65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM]
	CPUID 80000003	35692029-3034372D-50432030-20402055 [) i5-7400 CPU @ ]
	CPUID 80000004	30302E33-007A4847-00000000-00000000 [3.00GHz]
	CPUID 80000005	00000000-00000000-00000000-00000000
	CPUID 80000006	00000000-00000000-01006040-00000000
	CPUID 80000007	00000000-00000000-00000000-00000100
	CPUID 80000008	00003027-00000000-00000000-00000000

CPUID Registers (CPU #2):
	CPUID 00000000	00000016-756E6547-6C65746E-49656E69 [GenuineIntel]
	CPUID 00000001	000906E9-02100800-7FFAFBBF-BFEBFBFF
	CPUID 00000002	76036301-00F0B6FF-00000000-00C30000
	CPUID 00000003	00000000-00000000-00000000-00000000
	CPUID 00000004	1C004121-01C0003F-0000003F-00000000 [SL 00]
	CPUID 00000004	1C004122-01C0003F-0000003F-00000000 [SL 01]
	CPUID 00000004	1C004143-00C0003F-000003FF-00000000 [SL 02]
	CPUID 00000004	1C03C163-02C0003F-00001FFF-00000006 [SL 03]
	CPUID 00000005	00000040-00000040-00000003-00142120
	CPUID 00000006	000027F7-00000002-00000001-00000000
	CPUID 00000007	00000000-029C67AF-00000000-00000000
	CPUID 00000008	00000000-00000000-00000000-00000000
	CPUID 00000009	00000000-00000000-00000000-00000000
	CPUID 0000000A	07300804-00000000-00000000-00000603
	CPUID 0000000B	00000001-00000001-00000100-00000002 [SL 00]
	CPUID 0000000B	00000004-00000004-00000201-00000002 [SL 01]
	CPUID 0000000C	00000000-00000000-00000000-00000000
	CPUID 0000000D	0000001F-00000440-00000440-00000000 [SL 00]
	CPUID 0000000D	0000000F-000003C0-00000100-00000000 [SL 01]
	CPUID 0000000D	00000100-00000240-00000000-00000000 [SL 02]
	CPUID 0000000D	00000040-000003C0-00000000-00000000 [SL 03]
	CPUID 0000000D	00000040-00000400-00000000-00000000 [SL 04]
	CPUID 0000000E	00000000-00000000-00000000-00000000
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000011	00000000-00000000-00000000-00000000
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000013	00000000-00000000-00000000-00000000
	CPUID 00000014	00000001-0000000F-00000007-00000000 [SL 00]
	CPUID 00000014	02490002-003F3FFF-00000000-00000000 [SL 01]
	CPUID 00000015	00000002-000000FA-00000000-00000000
	CPUID 00000016	00000BB8-00000DAC-00000064-00000000
	CPUID 80000000	80000008-00000000-00000000-00000000
	CPUID 80000001	00000000-00000000-00000121-2C100000
	CPUID 80000002	65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM]
	CPUID 80000003	35692029-3034372D-50432030-20402055 [) i5-7400 CPU @ ]
	CPUID 80000004	30302E33-007A4847-00000000-00000000 [3.00GHz]
	CPUID 80000005	00000000-00000000-00000000-00000000
	CPUID 80000006	00000000-00000000-01006040-00000000
	CPUID 80000007	00000000-00000000-00000000-00000100
	CPUID 80000008	00003027-00000000-00000000-00000000

CPUID Registers (CPU #3):
	CPUID 00000000	00000016-756E6547-6C65746E-49656E69 [GenuineIntel]
	CPUID 00000001	000906E9-04100800-7FFAFBBF-BFEBFBFF
	CPUID 00000002	76036301-00F0B6FF-00000000-00C30000
	CPUID 00000003	00000000-00000000-00000000-00000000
	CPUID 00000004	1C004121-01C0003F-0000003F-00000000 [SL 00]
	CPUID 00000004	1C004122-01C0003F-0000003F-00000000 [SL 01]
	CPUID 00000004	1C004143-00C0003F-000003FF-00000000 [SL 02]
	CPUID 00000004	1C03C163-02C0003F-00001FFF-00000006 [SL 03]
	CPUID 00000005	00000040-00000040-00000003-00142120
	CPUID 00000006	000027F7-00000002-00000001-00000000
	CPUID 00000007	00000000-029C67AF-00000000-00000000
	CPUID 00000008	00000000-00000000-00000000-00000000
	CPUID 00000009	00000000-00000000-00000000-00000000
	CPUID 0000000A	07300804-00000000-00000000-00000603
	CPUID 0000000B	00000001-00000001-00000100-00000004 [SL 00]
	CPUID 0000000B	00000004-00000004-00000201-00000004 [SL 01]
	CPUID 0000000C	00000000-00000000-00000000-00000000
	CPUID 0000000D	0000001F-00000440-00000440-00000000 [SL 00]
	CPUID 0000000D	0000000F-000003C0-00000100-00000000 [SL 01]
	CPUID 0000000D	00000100-00000240-00000000-00000000 [SL 02]
	CPUID 0000000D	00000040-000003C0-00000000-00000000 [SL 03]
	CPUID 0000000D	00000040-00000400-00000000-00000000 [SL 04]
	CPUID 0000000E	00000000-00000000-00000000-00000000
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000011	00000000-00000000-00000000-00000000
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000013	00000000-00000000-00000000-00000000
	CPUID 00000014	00000001-0000000F-00000007-00000000 [SL 00]
	CPUID 00000014	02490002-003F3FFF-00000000-00000000 [SL 01]
	CPUID 00000015	00000002-000000FA-00000000-00000000
	CPUID 00000016	00000BB8-00000DAC-00000064-00000000
	CPUID 80000000	80000008-00000000-00000000-00000000
	CPUID 80000001	00000000-00000000-00000121-2C100000
	CPUID 80000002	65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM]
	CPUID 80000003	35692029-3034372D-50432030-20402055 [) i5-7400 CPU @ ]
	CPUID 80000004	30302E33-007A4847-00000000-00000000 [3.00GHz]
	CPUID 80000005	00000000-00000000-00000000-00000000
	CPUID 80000006	00000000-00000000-01006040-00000000
	CPUID 80000007	00000000-00000000-00000000-00000100
	CPUID 80000008	00003027-00000000-00000000-00000000

CPUID Registers (CPU #4):
	CPUID 00000000	00000016-756E6547-6C65746E-49656E69 [GenuineIntel]
	CPUID 00000001	000906E9-06100800-7FFAFBBF-BFEBFBFF
	CPUID 00000002	76036301-00F0B6FF-00000000-00C30000
	CPUID 00000003	00000000-00000000-00000000-00000000
	CPUID 00000004	1C004121-01C0003F-0000003F-00000000 [SL 00]
	CPUID 00000004	1C004122-01C0003F-0000003F-00000000 [SL 01]
	CPUID 00000004	1C004143-00C0003F-000003FF-00000000 [SL 02]
	CPUID 00000004	1C03C163-02C0003F-00001FFF-00000006 [SL 03]
	CPUID 00000005	00000040-00000040-00000003-00142120
	CPUID 00000006	000027F7-00000002-00000001-00000000
	CPUID 00000007	00000000-029C67AF-00000000-00000000
	CPUID 00000008	00000000-00000000-00000000-00000000
	CPUID 00000009	00000000-00000000-00000000-00000000
	CPUID 0000000A	07300804-00000000-00000000-00000603
	CPUID 0000000B	00000001-00000001-00000100-00000006 [SL 00]
	CPUID 0000000B	00000004-00000004-00000201-00000006 [SL 01]
	CPUID 0000000C	00000000-00000000-00000000-00000000
	CPUID 0000000D	0000001F-00000440-00000440-00000000 [SL 00]
	CPUID 0000000D	0000000F-000003C0-00000100-00000000 [SL 01]
	CPUID 0000000D	00000100-00000240-00000000-00000000 [SL 02]
	CPUID 0000000D	00000040-000003C0-00000000-00000000 [SL 03]
	CPUID 0000000D	00000040-00000400-00000000-00000000 [SL 04]
	CPUID 0000000E	00000000-00000000-00000000-00000000
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 0000000F	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000010	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000011	00000000-00000000-00000000-00000000
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 00]
	CPUID 00000012	00000000-00000000-00000000-00000000 [SL 01]
	CPUID 00000013	00000000-00000000-00000000-00000000
	CPUID 00000014	00000001-0000000F-00000007-00000000 [SL 00]
	CPUID 00000014	02490002-003F3FFF-00000000-00000000 [SL 01]
	CPUID 00000015	00000002-000000FA-00000000-00000000
	CPUID 00000016	00000BB8-00000DAC-00000064-00000000
	CPUID 80000000	80000008-00000000-00000000-00000000
	CPUID 80000001	00000000-00000000-00000121-2C100000
	CPUID 80000002	65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM]
	CPUID 80000003	35692029-3034372D-50432030-20402055 [) i5-7400 CPU @ ]
	CPUID 80000004	30302E33-007A4847-00000000-00000000 [3.00GHz]
	CPUID 80000005	00000000-00000000-00000000-00000000
	CPUID 80000006	00000000-00000000-01006040-00000000
	CPUID 80000007	00000000-00000000-00000000-00000100
	CPUID 80000008	00003027-00000000-00000000-00000000

MSR Registers:
	MSR 00000017	0004-0000-0000-0000 [PlatID = 1]
	MSR 0000001B	0000-0000-FEE0-0900
	MSR 00000035	0000-0000-0004-0004
	MSR 0000008B	0000-0048-0000-0000
	MSR 000000CE	0008-0838-F101-1E00 [eD = 0]
	MSR 000000E7	0000-0075-8B82-300D [S200]
	MSR 000000E7	0000-0075-8E47-0A34 [S200]
	MSR 000000E7	0000-0075-9327-E6AA
	MSR 000000E8	0000-0060-A113-248B [S200]
	MSR 000000E8	0000-0060-A31F-09F5 [S200]
	MSR 000000E8	0000-0060-A55D-17FC
	MSR 00000194	0000-0000-0001-0000
	MSR 00000198	0000-1749-0000-0800
	MSR 00000198	0000-19F7-0000-1900 [S200]
	MSR 00000198	0000-1BFC-0000-1D00 [S200]
	MSR 00000199	0000-0000-0000-1E00
	MSR 0000019A	0000-0000-0000-0000
	MSR 0000019B	0000-0000-0000-0010
	MSR 0000019C	0000-0000-8831-0800
	MSR 0000019C	0000-0000-8831-0800 [S200]
	MSR 0000019C	0000-0000-8831-0800 [S200]
	MSR 0000019D	0000-0000-0000-0000
	MSR 000001A0	0000-0000-0085-0089
	MSR 000001A2	0000-0000-0064-1400
	MSR 000001A4	0000-0000-0000-0000
	MSR 000001AA	0000-0000-0040-1CC0
	MSR 000001AC	< FAILED >
	MSR 000001AD	0000-0000-2122-2223
	MSR 000001B0	< FAILED >
	MSR 000001B1	0000-0000-8830-0800
	MSR 000001B2	0000-0000-0000-0000
	MSR 000001FC	0000-0000-0038-005D
	MSR 00000300	< FAILED >
	MSR 0000030A	0000-0000-0000-0000
	MSR 0000030A	0000-0000-0000-0000 [S200]
	MSR 0000030A	0000-0000-0000-0000 [S200]
	MSR 0000030B	0000-0000-0000-0000
	MSR 0000030B	0000-0000-0000-0000 [S200]
	MSR 0000030B	0000-0000-0000-0000 [S200]
	MSR 00000480	00DA-0400-0000-0004
	MSR 00000481	0000-007F-0000-0016
	MSR 00000482	FFF9-FFFE-0401-E172
	MSR 00000483	01FF-FFFF-0003-6DFF
	MSR 00000484	0003-FFFF-0000-11FF
	MSR 00000485	0000-0000-7004-C1E7
	MSR 00000486	0000-0000-8000-0021
	MSR 00000487	0000-0000-FFFF-FFFF
	MSR 00000488	0000-0000-0000-2000
	MSR 00000489	0000-0000-0037-27FF
	MSR 0000048A	0000-0000-0000-002E
	MSR 0000048B	005F-FCFF-0000-0000
	MSR 0000048C	0000-0F01-0673-4141
	MSR 0000048D	0000-007F-0000-0016
	MSR 0000048E	FFF9-FFFE-0400-6172
	MSR 0000048F	01FF-FFFF-0003-6DFB
	MSR 00000490	0003-FFFF-0000-11FB
	MSR 00000601	0000-0000-8000-0000
	MSR 00000602	< FAILED >
	MSR 00000603	0036-0000-0036-3636
	MSR 00000604	< FAILED >
	MSR 00000606	0000-0000-000A-0E03
	MSR 0000060A	0000-0000-0000-884E
	MSR 0000060B	0000-0000-0000-8876
	MSR 0000060C	0000-0000-0000-8894
	MSR 0000060D	0000-0000-0000-0000
	MSR 00000610	0042-8370-001D-82D0
	MSR 00000611	0000-0000-0C27-A548 [S200]
	MSR 00000611	0000-0000-0C28-4FE1 [S200]
	MSR 00000611	0000-0000-0C28-FA5B
	MSR 00000613	0000-0000-0000-0006
	MSR 00000614	0000-0000-0000-0208
	MSR 00000618	0054-00DE-0000-0000
	MSR 00000619	0000-0000-00F1-5D57 [S200]
	MSR 00000619	0000-0000-00F1-6A68 [S200]
	MSR 00000619	0000-0000-00F1-77DC
	MSR 0000061B	0000-0000-0000-0000
	MSR 0000061C	< FAILED >
	MSR 0000061E	< FAILED >
	MSR 00000620	0000-0000-0000-0820
	MSR 00000621	0000-0000-0000-0008
	MSR 00000638	0000-0000-0000-0000
	MSR 00000639	0000-0000-0422-2B07 [S200]
	MSR 00000639	0000-0000-0422-46C3 [S200]
	MSR 00000639	0000-0000-0422-6364
	MSR 0000063A	0000-0000-0000-0010
	MSR 0000063B	< FAILED >
	MSR 00000640	0000-0000-0000-0000
	MSR 00000641	0000-0000-0000-0000
	MSR 00000641	0000-0000-0000-0000 [S200]
	MSR 00000641	0000-0000-0000-0000 [S200]
	MSR 00000642	0000-0000-0000-0010
	MSR 00000648	0000-0000-0000-001E
	MSR 00000649	0000-0000-0000-0000
	MSR 0000064A	0000-0000-0000-0000
	MSR 0000064B	0000-0000-8000-0000
	MSR 0000064C	0000-0000-0000-0000
	MSR 00000690	0000-0000-0000-0000
	MSR 000006B0	0000-0000-0000-0000
	MSR 000006B1	0000-0000-0100-0000
	MSR 00000770	0000-0000-0000-0001
	MSR 00000771	0000-0000-0110-1E23
	MSR 00000772	< FAILED >
	MSR 00000773	0000-0000-0000-0001
	MSR 00000774	0000-019E-5400-FF01
	MSR 00000777	0000-0000-0000-0000

Системная плата


Свойства системной платы:
	ID системной платы	63-0100-000001-00101111-040416-Chipset$0AAAA000_BIOS DATE: 04/06/17 18:36:46 VER: V1.40
	Системная плата	MSI B250M Pro-VD (MS-7A74)

Свойства шины FSB:
	Тип шины	BCLK
	Реальная частота	100 МГц
	Эффективная частота	100 МГц

Свойства шины памяти:
	Тип шины	Dual DDR4 SDRAM
	Ширина шины	128 бит
	Соотношение DRAM:FSB	36:3
	Реальная частота	1200 МГц (DDR)
	Эффективная частота	2400 МГц
	Пропускная способность	38400 МБ/с

Свойства шины чипсета:
	Тип шины	Intel Direct Media Interface v3.0

Физическая информация о системной плате:
	Число гнёзд для ЦП	1 LGA1151
	Разъёмы расширения	2 PCI-E x1, 1 PCI-E x16, 1 M.2
	Разъёмы ОЗУ	2 DDR4 DIMM
	Встроенные устройства	Audio, Video, Gigabit LAN
	Форм-фактор	Micro ATX
	Размеры системной платы	190 mm x 230 mm
	Чипсет системной платы	B250

Производитель системной платы:
	Фирма	Micro-Star Int'l Co.,Ltd.
	Информация о продукте	https://www.msi.com/Motherboards
	Загрузка обновлений BIOS	https://www.msi.com/support#support_download
	Обновление драйверов	http://www.aida64.com/driver-updates
	Модернизации BIOS	http://www.aida64.com/bios-updates

Память


Физическая память:
	Всего	16349 МБ
	Занято	5092 МБ
	Свободно	11258 МБ
	Загрузка	31 %

Виртуальная память:
	Всего	19293 МБ
	Занято	5781 МБ
	Свободно	13512 МБ
	Загрузка	30 %

Файл подкачки:
	Файл подкачки	C:\pagefile.sys
	Текущий размер	2944 МБ
	Текущая/пиковая загрузка	0 МБ / 0 МБ
	Загрузка	0 %

Physical Address Extension (PAE):
	Поддерживается ОС	Да
	Поддерживается ЦП	Да
	Активный	Да

SPD


[ DIMM1: Patriot Memory PSD48G24002 ]

	Свойства модуля памяти:
		Имя модуля	Patriot Memory PSD48G24002
		Серийный номер	Нет
		Размер модуля	8 ГБ (2 ranks, 16 banks)
		Тип модуля	Unbuffered DIMM
		Тип памяти	DDR4 SDRAM
		Скорость памяти	DDR4-2400 (1200 МГц)
		Ширина модуля	64 bit
		Напряжение модуля	1.2 V
		Метод обнаружения ошибок	Нет
		DRAM Stepping	00h
		SDRAM Die Count	1

	Тайминги памяти:
		@ 1200 МГц	18-17-17-39 (CL-RCD-RP-RAS) / 55-313-193-133-6-4-7-26 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1200 МГц	17-17-17-39 (CL-RCD-RP-RAS) / 55-313-193-133-6-4-7-26 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1163 МГц	16-16-16-38 (CL-RCD-RP-RAS) / 54-303-187-128-6-4-6-25 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1090 МГц	15-15-15-35 (CL-RCD-RP-RAS) / 50-284-175-120-6-4-6-23 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1018 МГц	14-14-14-33 (CL-RCD-RP-RAS) / 47-265-163-112-5-4-6-22 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 945 МГц	13-13-13-31 (CL-RCD-RP-RAS) / 44-246-152-104-5-4-5-20 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 872 МГц	12-12-12-28 (CL-RCD-RP-RAS) / 40-227-140-96-5-3-5-19 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 800 МГц	11-11-11-26 (CL-RCD-RP-RAS) / 37-208-128-88-4-3-4-17 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 727 МГц	10-10-10-24 (CL-RCD-RP-RAS) / 34-190-117-80-4-3-4-16 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)

	Функции модуля памяти:
		Monolithic DRAM Device	Да
		Thermal Sensor	Нет

	Производитель модуля памяти:
		Фирма	Patriot Memory
		Информация о продукте	https://patriotmemory.com/product-category/computer-memory

[ DIMM3: Patriot Memory PSD48G24002 ]

	Свойства модуля памяти:
		Имя модуля	Patriot Memory PSD48G24002
		Серийный номер	Нет
		Размер модуля	8 ГБ (2 ranks, 16 banks)
		Тип модуля	Unbuffered DIMM
		Тип памяти	DDR4 SDRAM
		Скорость памяти	DDR4-2400 (1200 МГц)
		Ширина модуля	64 bit
		Напряжение модуля	1.2 V
		Метод обнаружения ошибок	Нет
		DRAM Stepping	00h
		SDRAM Die Count	1

	Тайминги памяти:
		@ 1200 МГц	18-17-17-39 (CL-RCD-RP-RAS) / 55-313-193-133-6-4-7-26 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1200 МГц	17-17-17-39 (CL-RCD-RP-RAS) / 55-313-193-133-6-4-7-26 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1163 МГц	16-16-16-38 (CL-RCD-RP-RAS) / 54-303-187-128-6-4-6-25 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1090 МГц	15-15-15-35 (CL-RCD-RP-RAS) / 50-284-175-120-6-4-6-23 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 1018 МГц	14-14-14-33 (CL-RCD-RP-RAS) / 47-265-163-112-5-4-6-22 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 945 МГц	13-13-13-31 (CL-RCD-RP-RAS) / 44-246-152-104-5-4-5-20 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 872 МГц	12-12-12-28 (CL-RCD-RP-RAS) / 40-227-140-96-5-3-5-19 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 800 МГц	11-11-11-26 (CL-RCD-RP-RAS) / 37-208-128-88-4-3-4-17 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)
		@ 727 МГц	10-10-10-24 (CL-RCD-RP-RAS) / 34-190-117-80-4-3-4-16 (RC-RFC1-RFC2-RFC4-RRDL-RRDS-CCDL-FAW)

	Функции модуля памяти:
		Monolithic DRAM Device	Да
		Thermal Sensor	Нет

	Производитель модуля памяти:
		Фирма	Patriot Memory
		Информация о продукте	https://patriotmemory.com/product-category/computer-memory

Чипсет


[ Северный мост: Intel Kaby Lake-S IMC ]

	Свойства северного моста:
		Северный мост	Intel Kaby Lake-S IMC
		Платформа Intel	Union Bay-DT
		Поддерживаемые типы памяти	DDR4-1333, DDR4-1600, DDR4-1866, DDR4-2133, DDR4-2400 SDRAM
		Максимальный объём памяти	64 ГБ
		Версия	05
		Технологический процесс	14 nm
		VT-d	Поддерживается
		Extended APIC (x2APIC)	Поддерживается

	Контроллер памяти:
		Тип	Dual Channel (128 бит)
		Активный режим	Dual Channel (128 бит)

	Тайминги памяти:
		CAS Latency (CL)	17T
		RAS To CAS Delay (tRCD)	17T
		RAS Precharge (tRP)	17T
		RAS Active Time (tRAS)	39T
		Row Refresh Cycle Time (tRFC)	312T
		Command Rate (CR)	2T
		RAS To RAS Delay (tRRD)	Same Bank Group: 6T, Diff. Bank Group: 4T
		Write Recovery Time (tWR)	19T
		Read To Read Delay (tRTR)	Different Rank: 7T, Different DIMM: 7T, Same Bank Group: 6T, Diff. Bank Group: 4T
		Read To Write Delay (tRTW)	Different Rank: 10T, Different DIMM: 11T, Same Bank Group: 10T, Diff. Bank Group: 9T
		Write To Read Delay (tWTR)	Different Rank: 8T, Different DIMM: 9T, Same Bank Group: 30T, Diff. Bank Group: 24T
		Write To Write Delay (tWTW)	Different Rank: 9T, Different DIMM: 9T, Same Bank Group: 6T, Diff. Bank Group: 4T
		Read To Precharge Delay (tRTP)	9T
		Write To Precharge Delay (tWTP)	38T
		Four Activate Window Delay (tFAW)	26T
		Write CAS Latency (tWCL)	15T
		CKE Min. Pulse Width (tCKE)	6T
		Refresh Period (tREF)	9364T
		Round Trip Latency (tRTL)	DIMM1: 56T, DIMM2: 69T, DIMM3: 57T, DIMM4: 69T
		I/O Latency (tIOL)	DIMM1: 6T, DIMM2: 4T, DIMM3: 6T, DIMM4: 4T
		Burst Length (BL)	8

	Коррекция ошибок:
		ECC	Не поддерживается
		ChipKill ECC	Не поддерживается
		RAID	Не поддерживается
		ECC Scrubbing	Не поддерживается

	Разъёмы памяти:
		Разъём DRAM 1	8 ГБ (DDR4-2400 DDR4 SDRAM)
		Разъём DRAM 2	8 ГБ (DDR4-2400 DDR4 SDRAM)

	Встроенный графический контроллер:
		Тип графического контроллера	Intel HD Graphics
		Статус графического контроллера	Запрещено

	Контроллер PCI Express:
		PCI-E 2.0 x16 port #2	Используется @ x16 (MSI GTX 1060 Armor 6G OC (MS-V328) Video Adapter, nVIDIA GP106 - High Definition Audio Controller)

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Южный мост: Intel Union Point B250 ]

	Свойства южного моста:
		Южный мост	Intel Union Point B250
		Платформа Intel	Union Bay-DT
		Версия / Stepping	00 / A0

	Контроллер PCI Express:
		PCI-E 2.0 x1 port #7	Используется @ x1 (Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter)

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

BIOS


Свойства BIOS:
	Тип BIOS	AMI EFI
	Версия BIOS	1.40
	SMBIOS Version	3.0
	UEFI Boot	Нет
	Дата BIOS системы	04/06/2017
	Дата BIOS видеоадаптера	01/16/17

Производитель BIOS:
	Фирма	American Megatrends Inc.
	Информация о продукте	http://www.ami.com/amibios
	Модернизации BIOS	http://www.aida64.com/bios-updates

Процессы


Имя процесса	Файл процесса	Тип	Занято памяти	Занято подкачкой
aida64.exe	C:\Users\brosc\AppData\Local\Temp\7ZipSfx.000\aida64.exe	32 бит	41220 КБ	33 КБ
audiodg.exe	C:\WINDOWS\system32\AUDIODG.EXE	64 бит	12848 КБ	7 КБ
AvastSvc.exe		32 бит	150 МБ	106 КБ
avastui.exe	D:\Program Files\Avast\AvastUI.exe	32 бит	13284 КБ	19 КБ
BSoD_Collector.exe	C:\Users\brosc\AppData\Local\Temp\Rar$EXa0.293\BSoD_Collector.exe	32 бит	16812 КБ	2 КБ
BSoD_Collector.exe	C:\Users\brosc\AppData\Local\Temp\Rar$EXa0.293\BSoD_Collector.exe	32 бит	12664 КБ	2 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	298 МБ	269 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	72012 КБ	27 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	10000 КБ	3 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	69540 КБ	25 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	267 МБ	233 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	69572 КБ	25 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	74152 КБ	26 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	66216 КБ	16 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	194 МБ	149 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	184 МБ	144 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	76792 КБ	34 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	69148 КБ	25 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	140 МБ	100 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	160 МБ	121 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	77360 КБ	35 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	155 МБ	118 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	233 МБ	196 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	103 МБ	64 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	140 МБ	100 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	116 МБ	78 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	69196 КБ	25 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	70520 КБ	26 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	70296 КБ	26 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	76116 КБ	32 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	599 МБ	555 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	153 МБ	115 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	79968 КБ	33 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	145 МБ	104 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	259 МБ	226 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	89 МБ	49 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	9432 КБ	2 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	264 МБ	213 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	292 МБ	259 КБ
chrome.exe	C:\Program Files (x86)\Google\Chrome\Application\chrome.exe	64 бит	74788 КБ	31 КБ
cmd.exe	C:\WINDOWS\SysWOW64\cmd.exe	32 бит	5160 КБ	6 КБ
conhost.exe	C:\WINDOWS\system32\conhost.exe	64 бит	8752 КБ	5 КБ
conhost.exe	C:\WINDOWS\system32\conhost.exe	64 бит	11628 КБ	5 КБ
csrss.exe		64 бит	4676 КБ	1 КБ
csrss.exe		64 бит	5476 КБ	2 КБ
Discord.exe	C:\Users\brosc\AppData\Local\Discord\app-0.0.298\Discord.exe	32 бит	57172 КБ	42 КБ
Discord.exe	C:\Users\brosc\AppData\Local\Discord\app-0.0.298\Discord.exe	32 бит	68788 КБ	35 КБ
Discord.exe	C:\Users\brosc\AppData\Local\Discord\app-0.0.298\Discord.exe	32 бит	153 МБ	110 КБ
dwm.exe	C:\WINDOWS\system32\dwm.exe	64 бит	39680 КБ	39 КБ
explorer.exe	C:\WINDOWS\Explorer.EXE	64 бит	84088 КБ	54 КБ
fontdrvhost.exe	C:\WINDOWS\system32\fontdrvhost.exe	64 бит	3500 КБ	1 КБ
fontdrvhost.exe	C:\WINDOWS\system32\fontdrvhost.exe	64 бит	5112 КБ	1 КБ
GoogleCrashHandler.exe	C:\Program Files (x86)\Google\Update\1.3.33.5\GoogleCrashHandler.exe	64 бит	640 КБ	1 КБ
GoogleCrashHandler64.exe	C:\Program Files (x86)\Google\Update\1.3.33.5\GoogleCrashHandler64.exe	64 бит	628 КБ	1 КБ
InstallAgent.exe	C:\Windows\System32\InstallAgent.exe	64 бит	12828 КБ	2 КБ
InstallAgentUserBroker.exe	C:\Windows\System32\InstallAgentUserBroker.exe	64 бит	10792 КБ	2 КБ
Lightshot.exe	C:\Program Files (x86)\Skillbrains\lightshot\5.4.0.10\Lightshot.exe	32 бит	13644 КБ	7 КБ
lsass.exe		64 бит	14124 КБ	5 КБ
Memory Compression		64 бит	4 КБ	0 КБ
nvcontainer.exe	C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe	64 бит	24848 КБ	9 КБ
nvcontainer.exe	C:\Program Files (x86)\NVIDIA Corporation\NvContainer\nvcontainer.exe	32 бит	31096 КБ	22 КБ
NVDisplay.Container.exe	C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe	64 бит	12648 КБ	4 КБ
NVDisplay.Container.exe	C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe	64 бит	22960 КБ	8 КБ
NVIDIA Share.exe	C:\Program Files (x86)\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Share.exe	32 бит	38236 КБ	22 КБ
NVIDIA Share.exe	C:\Program Files (x86)\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Share.exe	32 бит	52140 КБ	41 КБ
NVIDIA Web Helper.exe	C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe	32 бит	50680 КБ	37 КБ
nvspcaps64.exe	C:\Program Files\NVIDIA Corporation\ShadowPlay\nvspcaps64.exe	64 бит	29132 КБ	8 КБ
nvsphelper64.exe	C:\Program Files\NVIDIA Corporation\ShadowPlay\nvsphelper64.exe	64 бит	11844 КБ	2 КБ
NvTelemetryContainer.exe	C:\Program Files (x86)\NVIDIA Corporation\NvTelemetry\NvTelemetryContainer.exe	32 бит	11812 КБ	6 КБ
RuntimeBroker.exe	C:\Windows\System32\RuntimeBroker.exe	64 бит	26792 КБ	11 КБ
SearchFilterHost.exe	C:\WINDOWS\system32\SearchFilterHost.exe	64 бит	6320 КБ	1 КБ
SearchIndexer.exe	C:\WINDOWS\system32\SearchIndexer.exe	64 бит	17872 КБ	17 КБ
SearchProtocolHost.exe	C:\WINDOWS\system32\SearchProtocolHost.exe	64 бит	12400 КБ	2 КБ
SearchUI.exe	C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe	64 бит	86556 КБ	52 КБ
SecurityHealthService.exe		64 бит	10784 КБ	2 КБ
services.exe		64 бит	8712 КБ	4 КБ
ShellExperienceHost.exe	C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe	64 бит	64960 КБ	34 КБ
sihost.exe	c:\windows\system32\sihost.exe	64 бит	21716 КБ	5 КБ
smartscreen.exe	C:\Windows\System32\smartscreen.exe	64 бит	8952 КБ	5 КБ
smss.exe		64 бит	1192 КБ	0 КБ
spoolsv.exe	C:\WINDOWS\System32\spoolsv.exe	64 бит	13848 КБ	5 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	19392 КБ	5 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	8952 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	5300 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	10432 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	14376 КБ	6 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	5804 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	9980 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	15800 КБ	13 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7964 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7636 КБ	3 КБ
svchost.exe	C:\WINDOWS\system32\svchost.exe	64 бит	8196 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7096 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	10372 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	5536 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	8044 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	8588 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7332 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7204 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7620 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	6556 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7496 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7704 КБ	3 КБ
svchost.exe	C:\WINDOWS\System32\svchost.exe	64 бит	11564 КБ	3 КБ
svchost.exe	C:\WINDOWS\System32\svchost.exe	64 бит	5792 КБ	1 КБ
svchost.exe	C:\WINDOWS\system32\svchost.exe	64 бит	6972 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	6596 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	10696 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	26656 КБ	15 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	10420 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	15164 КБ	6 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7232 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	6356 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7420 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	12672 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	8548 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	9648 КБ	2 КБ
svchost.exe	C:\WINDOWS\system32\svchost.exe	64 бит	5580 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	10340 КБ	4 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	13452 КБ	7 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	7696 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	5420 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	19632 КБ	4 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	15296 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	11416 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	10968 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	5252 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	18248 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	6312 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	27116 КБ	6 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	17496 КБ	3 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	5432 КБ	1 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	6336 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	9784 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	19460 КБ	9 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	3744 КБ	0 КБ
svchost.exe	C:\WINDOWS\system32\svchost.exe	64 бит	22936 КБ	9 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	6704 КБ	1 КБ
svchost.exe	C:\WINDOWS\system32\svchost.exe	64 бит	11108 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	16928 КБ	5 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	11312 КБ	2 КБ
svchost.exe	c:\windows\system32\svchost.exe	64 бит	15952 КБ	5 КБ
System Idle Process			8 КБ	0 КБ
System		64 бит	784 КБ	0 КБ
taskhostw.exe	c:\windows\system32\taskhostw.exe	64 бит	16140 КБ	6 КБ
unchecky_bg.exe	C:\Program Files (x86)\Unchecky\bin\unchecky_bg.exe	32 бит	9120 КБ	1 КБ
unchecky_svc.exe	C:\Program Files (x86)\Unchecky\bin\unchecky_svc.exe	32 бит	7084 КБ	1 КБ
wininit.exe		64 бит	6216 КБ	1 КБ
winlogon.exe	C:\WINDOWS\system32\winlogon.exe	64 бит	9264 КБ	2 КБ
WmiPrvSE.exe	C:\WINDOWS\system32\wbem\wmiprvse.exe	32 бит	12016 КБ	4 КБ
wsc_proxy.exe		32 бит	9408 КБ	2 КБ

Системные драйверы


Имя драйвера	Описание драйвера	Имя файла	Версия	Тип	Состояние
1394ohci	1394 OHCI-совместимый хост-контроллер	1394ohci.sys	10.0.15063.0	Драйвер ядра	Остановлено
3ware	3ware	3ware.sys	5.1.0.51	Драйвер ядра	Остановлено
ACPI	Драйвер Microsoft ACPI	ACPI.sys	10.0.15063.502	Драйвер ядра	Выполняется
AcpiDev	Драйвер устройств с ACPI	AcpiDev.sys	10.0.15063.0	Драйвер ядра	Остановлено
acpiex	Microsoft ACPIEx Driver	acpiex.sys	10.0.15063.0	Драйвер ядра	Выполняется
acpipagr	Драйвер агрегатора процессора ACPI	acpipagr.sys	10.0.15063.0	Драйвер ядра	Выполняется
AcpiPmi	Драйвер устройства измерения мощности ACPI	acpipmi.sys	10.0.15063.0	Драйвер ядра	Остановлено
acpitime	Драйвер ACPI Wake Alarm	acpitime.sys	10.0.15063.0	Драйвер ядра	Остановлено
ADP80XX	ADP80XX	ADP80XX.SYS	1.3.0.10769	Драйвер ядра	Остановлено
AFD	Драйвер дополнительных функций для Winsock	afd.sys	10.0.15063.0	Драйвер ядра	Выполняется
ahcache	Application Compatibility Cache	ahcache.sys	10.0.15063.0	Драйвер ядра	Выполняется
AIDA64Driver	FinalWire AIDA64 Kernel Driver	kerneld.x64		Драйвер ядра	Выполняется
AmdK8	AMD K8 драйвер процессора	amdk8.sys	10.0.15063.0	Драйвер ядра	Остановлено
AmdPPM	Драйвер процессора AMD	amdppm.sys	10.0.15063.0	Драйвер ядра	Остановлено
amdsata	amdsata	amdsata.sys	1.1.3.277	Драйвер ядра	Остановлено
amdsbs	amdsbs	amdsbs.sys	3.7.1540.43	Драйвер ядра	Остановлено
amdxata	amdxata	amdxata.sys	1.1.3.277	Драйвер ядра	Остановлено
AppID	Драйвер AppID	appid.sys	10.0.15063.0	Драйвер ядра	Остановлено
applockerfltr	Драйвер фильтра Smartlocker	applockerfltr.sys	10.0.15063.0	Драйвер ядра	Остановлено
AppvStrm	AppvStrm	AppvStrm.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
AppvVemgr	AppvVemgr	AppvVemgr.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
AppvVfs	AppvVfs	AppvVfs.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
arcsas	Adaptec SAS/SATA-II RAID - драйвер минипорта Storport	arcsas.sys	7.5.0.32048	Драйвер ядра	Остановлено
aswbidsdriver	aswbidsdriver	aswbidsdrivera.sys	17.5.3.9094	Драйвер файловой системы	Остановлено
aswbidsh	aswbidsh	aswbidsha.sys	17.5.3.9094	Драйвер файловой системы	Остановлено
aswblog	aswblog	aswbloga.sys	17.5.3.9094	Драйвер файловой системы	Остановлено
aswbuniv	aswbuniv	aswbuniva.sys	17.5.3.9094	Драйвер файловой системы	Остановлено
aswHwid	aswHwid	aswHwid.sys	17.5.3540.0	Драйвер ядра	Остановлено
aswKbd	aswKbd	aswKbd.sys	17.5.3540.0	Драйвер ядра	Остановлено
aswMonFlt	aswMonFlt	aswMonFlt.sys	17.5.3585.182	Драйвер файловой системы	Выполняется
aswRdr	aswRdr	aswRdr2.sys	17.5.3540.0	Драйвер ядра	Выполняется
aswRvrt	aswRvrt	aswRvrt.sys	17.5.3540.0	Драйвер ядра	Выполняется
aswSnx	aswSnx	aswSnx.sys	17.5.3540.0	Драйвер файловой системы	Остановлено
aswSP	aswSP	aswSP.sys	17.5.3556.0	Драйвер файловой системы	Выполняется
aswStm	aswStm	aswStm.sys	17.5.3540.0	Драйвер ядра	Выполняется
aswVmm	aswVmm	aswVmm.sys	17.5.3559.170	Драйвер ядра	Остановлено
AsyncMac	Драйвер асинхронного носителя RAS	asyncmac.sys	10.0.15063.0	Драйвер ядра	Остановлено
atapi	Канал IDE	atapi.sys	10.0.15063.0	Драйвер ядра	Остановлено
b06bdrv	Сетевой адаптер VBD QLogic	bxvbda.sys	7.12.31.105	Драйвер ядра	Остановлено
BasicDisplay	BasicDisplay	BasicDisplay.sys	10.0.15063.0	Драйвер ядра	Выполняется
BasicRender	BasicRender	BasicRender.sys	10.0.15063.413	Драйвер ядра	Выполняется
bcmfn2	bcmfn2 Service	bcmfn2.sys	6.3.9600.17336	Драйвер ядра	Остановлено
Beep	Beep			Драйвер ядра	Выполняется
bowser	Драйвер поддержки браузера	bowser.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
BthAvrcpTg	HID дистанционного управления звуком и видео через Bluetooth	BthAvrcpTg.sys	10.0.15063.0	Драйвер ядра	Остановлено
BthHFEnum	Перечислитель HID дистанционного управления звонками и звуком с иcпользованием гарнитуры Bluetooth	bthhfenum.sys	10.0.15063.502	Драйвер ядра	Остановлено
bthhfhid	HID управления звонками с использованием гарнитуры Bluetooth	BthHFHid.sys	10.0.15063.0	Драйвер ядра	Остановлено
BTHMODEM	Драйвер связи Bluetooth-модема	bthmodem.sys	10.0.15063.0	Драйвер ядра	Остановлено
buttonconverter	Служба для устройств контроля переносных устройств	buttonconverter.sys	10.0.15063.0	Драйвер ядра	Остановлено
CAD	Драйвер вынесения решения по оплате	CAD.sys	10.0.15063.0	Драйвер ядра	Остановлено
CapImg	Драйвер HID для сенсорного экрана CapImg	capimg.sys	10.0.15063.0	Драйвер ядра	Остановлено
cdfs	CD/DVD File System Reader	cdfs.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
cdrom	Драйвер CD-ROM дисковода	cdrom.sys	10.0.15063.0	Драйвер ядра	Выполняется
cht4iscsi	cht4iscsi	cht4sx64.sys	6.1.14.200	Драйвер ядра	Остановлено
cht4vbd	Chelsio Virtual Bus Driver	cht4vx64.sys	6.1.14.200	Драйвер ядра	Остановлено
circlass	Потребительские ИК-устройства	circlass.sys	10.0.15063.0	Драйвер ядра	Остановлено
CldFlt	Windows Cloud Files Filter Driver	cldflt.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
CLFS	Common Log (CLFS)	CLFS.sys	10.0.15063.540	Драйвер ядра	Выполняется
clreg	Virtual Registry for Containers	registry.sys	10.0.15063.0	Драйвер ядра	Выполняется
CmBatt	Драйвер батареи с ACPI-управлением (Майкрософт)	CmBatt.sys	10.0.15063.0	Драйвер ядра	Остановлено
CNG	CNG	cng.sys	10.0.15063.0	Драйвер ядра	Выполняется
cnghwassist	CNG Hardware Assist algorithm provider	cnghwassist.sys	10.0.15063.0	Драйвер ядра	Остановлено
CompositeBus	Драйвер перечислителя композитной шины	CompositeBus.sys	10.0.15063.0	Драйвер ядра	Выполняется
condrv	Console Driver	condrv.sys	10.0.15063.0	Драйвер ядра	Выполняется
CSC	Драйвер автономных файлов	csc.sys	10.0.15063.0	Драйвер ядра	Выполняется
dam	Desktop Activity Moderator Driver	dam.sys	10.0.15063.332	Драйвер ядра	Остановлено
Dfsc	Драйвер клиента пространства имен DFS	dfsc.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
Disk	Драйвер диска	disk.sys	10.0.15063.0	Драйвер ядра	Выполняется
dmvsc	dmvsc	dmvsc.sys	10.0.15063.0	Драйвер ядра	Остановлено
drmkaud	Доверенные аудиодрайверы Майкрософт	drmkaud.sys	10.0.15063.0	Драйвер ядра	Остановлено
DXGKrnl	LDDM Graphics Subsystem	dxgkrnl.sys	10.0.15063.540	Драйвер ядра	Выполняется
ebdrv	Адаптер QLogic 10 Gigabit Ethernet VBD	evbda.sys	7.13.65.105	Драйвер ядра	Остановлено
EhStorClass	Enhanced Storage Filter Driver	EhStorClass.sys	10.0.15063.0	Драйвер ядра	Выполняется
EhStorTcgDrv	Драйвер Майкрософт для запоминающих устройств, поддерживающих протоколы IEEE 1667 и TCG	EhStorTcgDrv.sys	10.0.15063.0	Драйвер ядра	Остановлено
ErrDev	Microsoft Hardware Error Device Driver	errdev.sys	10.0.15063.0	Драйвер ядра	Остановлено
exfat	exFAT File System Driver			Драйвер файловой системы	Остановлено
fastfat	FAT12/16/32 File System Driver			Драйвер файловой системы	Остановлено
fdc	Драйвер контроллера гибких дисков	fdc.sys	10.0.15063.0	Драйвер ядра	Остановлено
FileCrypt	FileCrypt	filecrypt.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
FileInfo	File Information FS MiniFilter	fileinfo.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
Filetrace	Filetrace	filetrace.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
flpydisk	Драйвер дисковода гибких дисков	flpydisk.sys	10.0.15063.0	Драйвер ядра	Остановлено
FltMgr	Диспетчер фильтров	fltmgr.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
FsDepends	File System Dependency Minifilter	FsDepends.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
fvevol	Драйвер фильтра шифрования диска BitLocker	fvevol.sys	10.0.15063.502	Драйвер ядра	Выполняется
gencounter	Счетчик создания Microsoft Hyper-V	vmgencounter.sys	10.0.15063.0	Драйвер ядра	Остановлено
genericusbfn	Общий класс функции USB	genericusbfn.sys	10.0.15063.0	Драйвер ядра	Остановлено
GPIOClx0101	Microsoft GPIO Class Extension Driver	msgpioclx.sys	10.0.15063.0	Драйвер ядра	Остановлено
GpuEnergyDrv	GPU Energy Driver	gpuenergydrv.sys	10.0.15063.0	Драйвер ядра	Выполняется
HdAudAddService	Драйвер функции UAA для службы High Definition Audio (Microsoft), версия 1.1	HdAudio.sys	10.0.15063.0	Драйвер ядра	Выполняется
HDAudBus	Драйвер для шины UAA для High Definition Audio (Microsoft)	HDAudBus.sys	10.0.15063.447	Драйвер ядра	Выполняется
HidBatt	Драйвер батареи ИБП HID	HidBatt.sys	10.0.15063.0	Драйвер ядра	Остановлено
HidBth	Microsoft Bluetooth HID минипорт	hidbth.sys	10.0.15063.0	Драйвер ядра	Остановлено
hidi2c	Драйвер минипорта для HID-устройств на шине I2C (Майкрософт)	hidi2c.sys	10.0.15063.0	Драйвер ядра	Остановлено
hidinterrupt	Общий драйвер для кнопок HID, внедренных с прерываниями	hidinterrupt.sys	10.0.15063.0	Драйвер ядра	Остановлено
HidIr	Microsoft Infrared HID драйвер	hidir.sys	10.0.15063.0	Драйвер ядра	Остановлено
HidUsb	Драйвер класса HID Microsoft	hidusb.sys	10.0.15063.0	Драйвер ядра	Выполняется
HpSAMD	HpSAMD	HpSAMD.sys	8.0.4.0	Драйвер ядра	Остановлено
HTTP	HTTP-служба	HTTP.sys	10.0.15063.483	Драйвер ядра	Выполняется
hvservice	Hypervisor/Virtual Machine Support Driver	hvservice.sys	10.0.15063.0	Драйвер ядра	Остановлено
hwpolicy	Hardware Policy Driver	hwpolicy.sys	10.0.15063.0	Драйвер ядра	Остановлено
hyperkbd	hyperkbd	hyperkbd.sys	10.0.15063.0	Драйвер ядра	Остановлено
i8042prt	Драйвер клавиатуры и мыши для порта PS/2	i8042prt.sys	10.0.15063.0	Драйвер ядра	Остановлено
iagpio	Драйвер контроллера GPIO с последовательным вводом-выводом Intel	iagpio.sys	604.10146.3023.12819	Драйвер ядра	Остановлено
iai2c	Intel(R) Serial IO I2C Host Controller	iai2c.sys	604.10146.2643.2818	Драйвер ядра	Остановлено
iaLPSS2i_GPIO2_BXT_P	Драйвер версии 2 интерфейса ввода-вывода общего назначения для операций последовательного ввода-вывода Intel(R)	iaLPSS2i_GPIO2_BXT_P.sys	30.100.1705.5	Драйвер ядра	Остановлено
iaLPSS2i_GPIO2	Драйвер версии 2 Intel(R) Serial IO GPIO	iaLPSS2i_GPIO2.sys	30.100.1633.3	Драйвер ядра	Остановлено
iaLPSS2i_I2C_BXT_P	Драйвер версии 2 I2C для операций последовательного ввода-вывода Intel(R)	iaLPSS2i_I2C_BXT_P.sys	30.100.1705.5	Драйвер ядра	Остановлено
iaLPSS2i_I2C	Драйвер версии 2 Intel(R) Serial IO I2C	iaLPSS2i_I2C.sys	30.100.1633.3	Драйвер ядра	Остановлено
iaLPSSi_GPIO	Драйвер контроллера Intel(R) Serial IO GPIO	iaLPSSi_GPIO.sys	1.1.250.0	Драйвер ядра	Остановлено
iaLPSSi_I2C	Драйвер Intel(R) Serial IO I2C Controller	iaLPSSi_I2C.sys	1.1.253.0	Драйвер ядра	Остановлено
iaStorA	Intel Chipset SATA RAID Controller	iaStorA.sys	15.7.0.1014	Драйвер ядра	Выполняется
iaStorAV	RAID-контроллер Intel(R) SATA для Windows	iaStorAV.sys	13.2.0.1022	Драйвер ядра	Остановлено
iaStorV	RAID-контроллер Intel для Windows 7	iaStorV.sys	8.6.2.1019	Драйвер ядра	Остановлено
ibbus	Mellanox InfiniBand Bus/AL (Filter Driver)	ibbus.sys	5.1.11548.0	Драйвер ядра	Остановлено
ICCWDT	Intel(R) Watchdog Timer Driver (Intel(R) WDT)	ICCWDT.sys	11.0.0.1007	Драйвер ядра	Выполняется
IndirectKmd	Драйвер режима ядра непрямых дисплеев	IndirectKmd.sys	10.0.15063.0	Драйвер ядра	Остановлено
intelide	intelide	intelide.sys	10.0.15063.0	Драйвер ядра	Остановлено
intelpep	Драйвер подключаемого модуля управления питанием Intel(R)	intelpep.sys	10.0.15063.0	Драйвер ядра	Выполняется
intelppm	Драйвер Intel процессора	intelppm.sys	10.0.15063.0	Драйвер ядра	Выполняется
iorate	Драйвер фильтра скорости ввода-вывода диска	iorate.sys	10.0.15063.0	Драйвер ядра	Выполняется
IpFilterDriver	Драйвер фильтра IP-трафика	ipfltdrv.sys	10.0.15063.0	Драйвер ядра	Остановлено
IPMIDRV	IPMIDRV	IPMIDrv.sys	10.0.15063.0	Драйвер ядра	Остановлено
IPNAT	IP Network Address Translator	ipnat.sys	10.0.15063.0	Драйвер ядра	Остановлено
irda	irda	irda.sys	10.0.15063.0	Драйвер ядра	Остановлено
IRENUM	IR Bus Enumerator	irenum.sys	10.0.15063.0	Драйвер ядра	Остановлено
isapnp	isapnp	isapnp.sys	10.0.15063.0	Драйвер ядра	Остановлено
iScsiPrt	Драйвер iScsiPort	msiscsi.sys	10.0.15063.502	Драйвер ядра	Остановлено
kbdclass	Драйвер класса клавиатуры	kbdclass.sys	10.0.15063.0	Драйвер ядра	Выполняется
kbdhid	Драйвер клавиатуры HID	kbdhid.sys	10.0.15063.0	Драйвер ядра	Выполняется
kdnic	Мини-порт сетевого адаптера с отладкой ядра (Майкрософт) (NDIS 6.20)	kdnic.sys	6.1.0.0	Драйвер ядра	Выполняется
KSecDD	KSecDD	ksecdd.sys	10.0.15063.0	Драйвер ядра	Выполняется
KSecPkg	KSecPkg	ksecpkg.sys	10.0.15063.0	Драйвер ядра	Выполняется
ksthunk	Kernel Streaming Thunks	ksthunk.sys	10.0.15063.332	Драйвер ядра	Выполняется
lltdio	Ответчик обнаружения топологии канального уровня	lltdio.sys	10.0.15063.0	Драйвер ядра	Выполняется
LSI_SAS	LSI_SAS	lsi_sas.sys	1.34.3.83	Драйвер ядра	Остановлено
LSI_SAS2i	LSI_SAS2i	lsi_sas2i.sys	2.0.79.81	Драйвер ядра	Остановлено
LSI_SAS3i	LSI_SAS3i	lsi_sas3i.sys	2.51.12.81	Драйвер ядра	Остановлено
LSI_SSS	LSI_SSS	lsi_sss.sys	2.10.61.81	Драйвер ядра	Остановлено
luafv	Виртуализация файла контроля учетных записей	luafv.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
mausbhost	Драйвер хост-контроллера MA-USB	mausbhost.sys	10.0.15063.0	Драйвер ядра	Остановлено
mausbip	Драйвер IP-фильтр MA-USB	mausbip.sys	10.0.15063.0	Драйвер ядра	Остановлено
megasas	megasas	megasas.sys	6.706.6.0	Драйвер ядра	Остановлено
megasas2i	megasas2i	MegaSas2i.sys	6.711.10.11	Драйвер ядра	Остановлено
megasr	megasr	megasr.sys	15.2.2013.129	Драйвер ядра	Остановлено
MEIx64	Intel(R) Management Engine Interface	TeeDriverW8x64.sys	11.7.0.1002	Драйвер ядра	Выполняется
mlx4_bus	Mellanox ConnectX Bus Enumerator	mlx4_bus.sys	5.1.11548.0	Драйвер ядра	Остановлено
MMCSS	Multimedia Class Scheduler	mmcss.sys	10.0.15063.0	Драйвер ядра	Выполняется
Modem	Modem	modem.sys	10.0.15063.0	Драйвер ядра	Остановлено
monitor	Microsoft Monitor Class Function Driver Service	monitor.sys	10.0.15063.0	Драйвер ядра	Выполняется
mouclass	Драйвер класса мыши	mouclass.sys	10.0.15063.0	Драйвер ядра	Выполняется
mouhid	Драйвер мыши HID	mouhid.sys	10.0.15063.0	Драйвер ядра	Выполняется
mountmgr	Диспетчер точек подключения	mountmgr.sys	10.0.15063.0	Драйвер ядра	Выполняется
mpsdrv	Windows Firewall Authorization Driver	mpsdrv.sys	10.0.15063.0	Драйвер ядра	Остановлено
MRxDAV	Драйвер перенаправителя клиентов WebDav	mrxdav.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
mrxsmb	Оболочка и модуль мини-перенаправителя SMB	mrxsmb.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
mrxsmb10	Мини-перенаправитель SMB 1.x	mrxsmb10.sys	10.0.15063.483	Драйвер файловой системы	Выполняется
mrxsmb20	Мини-перенаправитель SMB 2.0	mrxsmb20.sys	10.0.15063.483	Драйвер файловой системы	Выполняется
MsBridge	MAC-мост (Майкрософт)	bridge.sys	10.0.15063.502	Драйвер ядра	Остановлено
Msfs	Msfs			Драйвер файловой системы	Выполняется
msgpiowin32	Common Driver for Buttons, DockMode and Laptop/Slate Indicator	msgpiowin32.sys	10.0.15063.0	Драйвер ядра	Остановлено
mshidkmdf	Pass-through HID to KMDF Filter Driver	mshidkmdf.sys	10.0.15063.0	Драйвер ядра	Остановлено
mshidumdf	Сквозной драйвер HID-UMDF	mshidumdf.sys	10.0.15063.0	Драйвер ядра	Остановлено
msisadrv	msisadrv	msisadrv.sys	10.0.15063.0	Драйвер ядра	Выполняется
MSKSSRV	Представитель служб потоков Microsoft	MSKSSRV.sys	10.0.15063.447	Драйвер ядра	Остановлено
MsLldp	Протокол Microsoft LLDP	mslldp.sys	10.0.15063.0	Драйвер ядра	Выполняется
MSPCLOCK	Посредник синхронизации потоков Microsoft	MSPCLOCK.sys	10.0.15063.0	Драйвер ядра	Остановлено
MSPQM	Представитель диспетчера качества потоков Microsoft	MSPQM.sys	10.0.15063.0	Драйвер ядра	Остановлено
MsRPC	MsRPC			Драйвер ядра	Остановлено
MsSecFlt	Мини-фильтр компонента событий безопасности Майкрософт	mssecflt.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
mssmbios	Драйвер Microsoft System Management BIOS	mssmbios.sys	10.0.15063.0	Драйвер ядра	Выполняется
MSTEE	Преобразователь потоков Tee/Sink-to-Sink Microsoft	MSTEE.sys	10.0.15063.0	Драйвер ядра	Остановлено
MTConfig	Microsoft Input Configuration Driver	MTConfig.sys	10.0.15063.0	Драйвер ядра	Остановлено
Mup	Mup	mup.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
mvumis	mvumis	mvumis.sys	1.0.5.1016	Драйвер ядра	Остановлено
NativeWifiP	Фильтр NativeWiFi	nwifi.sys	10.0.15063.0	Драйвер ядра	Остановлено
ndfltr	NetworkDirect Service	ndfltr.sys	5.1.11548.0	Драйвер ядра	Остановлено
NDIS	Системный драйвер NDIS	ndis.sys	10.0.15063.447	Драйвер ядра	Выполняется
NdisCap	Захват Microsoft NDIS	ndiscap.sys	10.0.15063.0	Драйвер ядра	Остановлено
NdisImPlatform	Протокол мультиплексора сетевого адаптера (Майкрософт)	NdisImPlatform.sys	10.0.15063.0	Драйвер ядра	Остановлено
NdisTapi	NDIS-драйвер TAPI удаленного доступа	ndistapi.sys	10.0.15063.0	Драйвер ядра	Остановлено
Ndisuio	NDIS Usermode I/O Protocol	ndisuio.sys	10.0.15063.0	Драйвер ядра	Остановлено
NdisVirtualBus	Перечислитель виртуальных сетевых адаптеров (Майкрософт)	NdisVirtualBus.sys	10.0.15063.0	Драйвер ядра	Выполняется
NdisWan	NDIS-драйвер глобальной сети для удаленного доступа	ndiswan.sys	10.0.15063.0	Драйвер ядра	Остановлено
ndiswanlegacy	Устаревшая версия NDIS-драйвера глобальной сети для удаленного доступа	ndiswan.sys	10.0.15063.0	Драйвер ядра	Остановлено
ndproxy	@%SystemRoot%\system32\drivers\todo.sys,-101;NDIS Proxy	NDProxy.sys	10.0.15063.0	Драйвер ядра	Остановлено
Ndu	Windows Network Data Usage Monitoring Driver	Ndu.sys	10.0.15063.0	Драйвер ядра	Выполняется
NetAdapterCx	Network Adapter Wdf Class Extension Library	NetAdapterCx.sys	10.0.15063.0	Драйвер ядра	Остановлено
NetBIOS	NetBIOS Interface	netbios.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
NetBT	NetBT	netbt.sys	10.0.15063.0	Драйвер ядра	Выполняется
netvsc	netvsc	netvsc.sys	10.0.15063.250	Драйвер ядра	Остановлено
Npfs	Npfs			Драйвер файловой системы	Выполняется
npsvctrig	Named pipe service trigger provider	npsvctrig.sys	10.0.15063.0	Драйвер ядра	Выполняется
nsiproxy	NSI Proxy Service Driver	nsiproxy.sys	10.0.15063.0	Драйвер ядра	Выполняется
NTFS	NTFS			Драйвер файловой системы	Выполняется
Null	Null			Драйвер ядра	Выполняется
nvdimmn	Драйвер устройства (Майкрософт) NVDIMM-N	nvdimmn.sys	10.0.15063.0	Драйвер ядра	Остановлено
NVHDA	Service for NVIDIA High Definition Audio Driver	nvhda64v.sys	1.3.34.27	Драйвер ядра	Выполняется
nvlddmkm	nvlddmkm	nvlddmkm.sys	22.21.13.8494	Драйвер ядра	Выполняется
nvraid	nvraid	nvraid.sys	10.6.0.23	Драйвер ядра	Остановлено
nvstor	nvstor	nvstor.sys	10.6.0.23	Драйвер ядра	Остановлено
NvStreamKms	NVIDIA KMS	NvStreamKms.sys	7.1.2250.7081	Драйвер ядра	Остановлено
nvvad_WaveExtensible	NVIDIA Virtual Audio Device (Wave Extensible) (WDM)	nvvad64v.sys	3.90.1.0	Драйвер ядра	Выполняется
nvvhci	NVVHCI Enumerator Service	nvvhci.sys	202.0.0.0	Драйвер ядра	Выполняется
Parport	Драйвер параллельного порта	parport.sys	10.0.15063.0	Драйвер ядра	Остановлено
partmgr	Драйвер разделов	partmgr.sys	10.0.15063.0	Драйвер ядра	Выполняется
pci	Драйвер шины PCI	pci.sys	10.0.15063.0	Драйвер ядра	Выполняется
pciide	pciide	pciide.sys	10.0.15063.0	Драйвер ядра	Остановлено
pcmcia	pcmcia	pcmcia.sys	10.0.15063.0	Драйвер ядра	Остановлено
pcw	Performance Counters for Windows Driver	pcw.sys	10.0.15063.0	Драйвер ядра	Выполняется
pdc	pdc	pdc.sys	10.0.15063.483	Драйвер ядра	Выполняется
PEAUTH	PEAUTH	peauth.sys	10.0.15063.0	Драйвер ядра	Выполняется
percsas2i	percsas2i	percsas2i.sys	6.805.3.0	Драйвер ядра	Остановлено
percsas3i	percsas3i	percsas3i.sys	6.603.6.0	Драйвер ядра	Остановлено
pmem	Драйвер диска энергонезависимой памяти (Майкрософт)	pmem.sys	10.0.15063.0	Драйвер ядра	Остановлено
PptpMiniport	Мини-порт глобальной сети (PPTP)	raspptp.sys	10.0.15063.0	Драйвер ядра	Остановлено
Processor	Драйвер процессора	processr.sys	10.0.15063.0	Драйвер ядра	Остановлено
Psched	Планировщик пакетов QoS	pacer.sys	10.0.15063.0	Драйвер ядра	Выполняется
QWAVEdrv	Драйвер QWAVE	qwavedrv.sys	10.0.15063.0	Драйвер ядра	Выполняется
RasAcd	Remote Access Auto Connection Driver	rasacd.sys	10.0.15063.0	Драйвер ядра	Остановлено
RasAgileVpn	Мини-порт глобальной сети (IKEv2)	AgileVpn.sys	10.0.15063.0	Драйвер ядра	Остановлено
Rasl2tp	Мини-порт глобальной сети (L2TP)	rasl2tp.sys	10.0.15063.0	Драйвер ядра	Остановлено
RasPppoe	Драйвер PPPOE для удаленного доступа	raspppoe.sys	10.0.15063.0	Драйвер ядра	Остановлено
RasSstp	Мини-порт глобальной сети (SSTP)	rassstp.sys	10.0.15063.0	Драйвер ядра	Остановлено
rdbss	Перенаправленная подсистема буферизации	rdbss.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
rdpbus	Remote Desktop Device Redirector Bus Driver	rdpbus.sys	10.0.15063.0	Драйвер ядра	Выполняется
RDPDR	Драйвер перенаправителя устройств удаленных рабочих столов	rdpdr.sys	10.0.15063.0	Драйвер ядра	Остановлено
RdpVideoMiniport	Remote Desktop Video Miniport Driver	rdpvideominiport.sys	10.0.15063.0	Драйвер ядра	Остановлено
rdyboost	ReadyBoost	rdyboost.sys	10.0.15063.0	Драйвер ядра	Выполняется
ReFS	ReFS			Драйвер файловой системы	Остановлено
ReFSv1	ReFSv1			Драйвер файловой системы	Остановлено
rspndr	Отвечающее устройство обнаружения топологии канального уровня	rspndr.sys	10.0.15063.0	Драйвер ядра	Выполняется
rt640x64	Realtek RT640 NT Driver	rt640x64.sys	10.16.323.2017	Драйвер ядра	Выполняется
s3cap	s3cap	vms3cap.sys	10.0.15063.0	Драйвер ядра	Остановлено
sbp2port	SBP-2 драйвер шины транспорт/протокол	sbp2port.sys	10.0.15063.0	Драйвер ядра	Остановлено
scfilter	Драйвер фильтра смарт-карты класса PnP	scfilter.sys	10.0.15063.0	Драйвер ядра	Остановлено
scmbus	Драйвер Microsoft шины памяти класса хранилища	scmbus.sys	10.0.15063.0	Драйвер ядра	Остановлено
sdbus	sdbus	sdbus.sys	10.0.15063.332	Драйвер ядра	Остановлено
SDFRd	Отражатель SDF	SDFRd.sys		Драйвер ядра	Остановлено
sdstor	Драйвер порта SD Storage	sdstor.sys	10.0.15063.0	Драйвер ядра	Остановлено
SerCx	Serial UART Support Library	SerCx.sys	10.0.15063.0	Драйвер ядра	Остановлено
SerCx2	Serial UART Support Library	SerCx2.sys	10.0.15063.0	Драйвер ядра	Остановлено
Serenum	Драйвер фильтра Serenum	serenum.sys	10.0.15063.0	Драйвер ядра	Выполняется
Serial	Драйвер последовательного порта	serial.sys	10.0.15063.0	Драйвер ядра	Выполняется
sermouse	Драйвер мыши для посл. порта	sermouse.sys	10.0.15063.0	Драйвер ядра	Остановлено
sfloppy	Дисковод большой емкости	sfloppy.sys	10.0.15063.0	Драйвер ядра	Остановлено
SiSRaid2	SiSRaid2	SiSRaid2.sys	5.1.1039.2600	Драйвер ядра	Остановлено
SiSRaid4	SiSRaid4	sisraid4.sys	5.1.1039.3600	Драйвер ядра	Остановлено
spaceport	Драйвер дискового пространства	spaceport.sys	10.0.15063.0	Драйвер ядра	Выполняется
SpatialGraphFilter	Holographic Spatial Graph Filter	SpatialGraphFilter.sys	10.0.15063.0	Драйвер ядра	Остановлено
SpbCx	Simple Peripheral Bus Support Library	SpbCx.sys	10.0.15063.0	Драйвер ядра	Остановлено
srv	Драйвер сервера Server SMB 1.xxx	srv.sys	10.0.15063.296	Драйвер файловой системы	Выполняется
srv2	Драйвер сервера Server SMB 2.xxx	srv2.sys	10.0.15063.296	Драйвер файловой системы	Выполняется
srvnet	srvnet	srvnet.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
stexstor	stexstor	stexstor.sys	5.1.0.10	Драйвер ядра	Остановлено
storahci	Стандартный драйвер SATA AHCI (Майкрософт)	storahci.sys	10.0.15063.332	Драйвер ядра	Остановлено
storflt	Ускоритель хранилища Microsoft Hyper-V	vmstorfl.sys	10.0.15063.0	Драйвер ядра	Остановлено
stornvme	Стандартный драйвер NVM Express (Майкрософт)	stornvme.sys	10.0.15063.0	Драйвер ядра	Остановлено
storqosflt	Драйвер-фильтр качества обслуживания хранилища	storqosflt.sys	10.0.15063.0	Драйвер файловой системы	Выполняется
storufs	Драйвер для универсального флеш-накопителя (UFS) Microsoft	storufs.sys	10.0.15063.0	Драйвер ядра	Остановлено
storvsc	storvsc	storvsc.sys	10.0.15063.0	Драйвер ядра	Остановлено
swenum	Драйвер программной шины	swenum.sys	10.0.15063.0	Драйвер ядра	Выполняется
Synth3dVsc	Synth3dVsc	Synth3dVsc.sys	10.0.15063.0	Драйвер ядра	Остановлено
Tcpip	Драйвер протокола TCP/IP	tcpip.sys	10.0.15063.502	Драйвер ядра	Выполняется
Tcpip6	@todo.dll,-100;Microsoft IPv6 Protocol Driver	tcpip.sys	10.0.15063.502	Драйвер ядра	Остановлено
tcpipreg	TCP/IP Registry Compatibility	tcpipreg.sys	10.0.15063.0	Драйвер ядра	Выполняется
tdx	Драйвер поддержки NetIO Legacy TDI	tdx.sys	10.0.15063.540	Драйвер ядра	Выполняется
terminpt	Microsoft Remote Desktop Input Driver	terminpt.sys	10.0.15063.0	Драйвер ядра	Остановлено
TPM	TPM	tpm.sys	10.0.15063.413	Драйвер ядра	Остановлено
TsUsbFlt	Драйвер-фильтр класса USB-концентратора удаленного рабочего стола	tsusbflt.sys	10.0.15063.0	Драйвер ядра	Остановлено
TsUsbGD	Универсальное USB-устройство удаленного рабочего стола	TsUsbGD.sys	10.0.15063.0	Драйвер ядра	Остановлено
tsusbhub	USB-концентратор удаленного рабочего стола	tsusbhub.sys	10.0.15063.0	Драйвер ядра	Остановлено
tunnel	Драйвер адаптера минипорта для туннеля Microsoft	tunnel.sys	10.0.15063.0	Драйвер ядра	Остановлено
UASPStor	Драйвер USB-устройства SCSI (UAS)	uaspstor.sys	10.0.15063.0	Драйвер ядра	Остановлено
UcmCx0101	USB Connector Manager KMDF Class Extension	UcmCx.sys	10.0.15063.0	Драйвер ядра	Остановлено
UcmTcpciCx0101	UCM-TCPCI KMDF Class Extension	UcmTcpciCx.sys	10.0.15063.0	Драйвер ядра	Остановлено
UcmUcsi	Клиент UCSI диспетчера разъема USB	UcmUcsi.sys	10.0.15063.502	Драйвер ядра	Остановлено
Ucx01000	USB Host Support Library	ucx01000.sys	10.0.15063.0	Драйвер ядра	Выполняется
UdeCx	USB Device Emulation Support Library	udecx.sys	10.0.15063.0	Драйвер ядра	Остановлено
udfs	udfs	udfs.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
UEFI	Драйвер UEFI (Майкрософт)	UEFI.sys	10.0.15063.0	Драйвер ядра	Остановлено
UevAgentDriver	UevAgentDriver	UevAgentDriver.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
Ufx01000	USB Function Class Extension	ufx01000.sys	10.0.15063.0	Драйвер ядра	Остановлено
UfxChipidea	USB-контроллер Chipidea	UfxChipidea.sys	10.0.15063.0	Драйвер ядра	Остановлено
ufxsynopsys	USB-котроллер Synopsys	ufxsynopsys.sys	10.0.15063.0	Драйвер ядра	Остановлено
umbus	UMBus драйвер перечислителя	umbus.sys	10.0.15063.0	Драйвер ядра	Выполняется
UmPass	Драйвер UMPass Microsoft	umpass.sys	10.0.15063.0	Драйвер ядра	Остановлено
UrsChipidea	Драйвер с переключением ролей Chipidea USB	urschipidea.sys	10.0.15063.0	Драйвер ядра	Остановлено
UrsCx01000	USB Role-Switch Support Library	urscx01000.sys	10.0.15063.0	Драйвер ядра	Остановлено
UrsSynopsys	Драйвер с переключением ролей Synopsys USB	urssynopsys.sys	10.0.15063.0	Драйвер ядра	Остановлено
usbaudio	Аудио драйвер USB (WDM)	usbaudio.sys	10.0.15063.0	Драйвер ядра	Выполняется
usbccgp	Драйвер универсального родительского устройства USB (Microsoft)	usbccgp.sys	10.0.15063.0	Драйвер ядра	Выполняется
usbcir	eHome инфракрасный ресивер (USBCIR)	usbcir.sys	10.0.15063.0	Драйвер ядра	Остановлено
usbehci	Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера	usbehci.sys	10.0.15063.0	Драйвер ядра	Остановлено
usbhub	Стандартный драйвер USB-концентратора (Майкрософт)	usbhub.sys	10.0.15063.0	Драйвер ядра	Остановлено
USBHUB3	Концентратор SuperSpeed	UsbHub3.sys	10.0.15063.502	Драйвер ядра	Выполняется
usbohci	Драйвер минипорта Microsoft USB открытого хост-контроллера	usbohci.sys	10.0.15063.0	Драйвер ядра	Остановлено
usbprint	Класс принтеров Microsoft USB	usbprint.sys	10.0.15063.0	Драйвер ядра	Остановлено
usbser	Драйвер последовательного порта USB (Майкрософт)	usbser.sys	10.0.15063.0	Драйвер ядра	Остановлено
USBSTOR	Драйвер запоминающих устройств для USB	USBSTOR.SYS	10.0.15063.0	Драйвер ядра	Остановлено
usbuhci	Драйвер минипорта Microsoft USB универсального хост-контроллера	usbuhci.sys	10.0.15063.0	Драйвер ядра	Остановлено
USBXHCI	xHCI-совместимый хост-контроллер USB	USBXHCI.SYS	10.0.15063.296	Драйвер ядра	Выполняется
vdrvroot	Перечислитель виртуальных дисков (Майкрософт)	vdrvroot.sys	10.0.15063.0	Драйвер ядра	Выполняется
VerifierExt	VerifierExt	VerifierExt.sys	10.0.15063.0	Драйвер ядра	Остановлено
vhdmp	vhdmp	vhdmp.sys	10.0.15063.332	Драйвер ядра	Остановлено
vhf	Драйвер платформы Virtual HID Framework (VHF)	vhf.sys	10.0.15063.0	Драйвер ядра	Остановлено
vmbus	Шина VMBus	vmbus.sys	10.0.15063.0	Драйвер ядра	Остановлено
VMBusHID	VMBusHID	VMBusHID.sys	10.0.15063.0	Драйвер ядра	Остановлено
vmgid	Драйвер инфраструктуры гостей Microsoft Hyper-V	vmgid.sys	10.0.15063.0	Драйвер ядра	Остановлено
volmgr	Драйвер диспетчера томов	volmgr.sys	10.0.15063.0	Драйвер ядра	Выполняется
volmgrx	Диспетчер динамических томов	volmgrx.sys	10.0.15063.0	Драйвер ядра	Выполняется
volsnap	Volume Shadow Copy driver	volsnap.sys	10.0.15063.0	Драйвер ядра	Выполняется
volume	Драйвер тома	volume.sys	10.0.15063.0	Драйвер ядра	Выполняется
vpci	Виртуальная шина PCI Microsoft Hyper-V	vpci.sys	10.0.15063.0	Драйвер ядра	Остановлено
vsmraid	vsmraid	vsmraid.sys	7.0.9600.6352	Драйвер ядра	Остановлено
VSTXRAID	Драйвер RAID-контроллера запоминающего устройства VIA StorX для Windows	vstxraid.sys	8.0.9200.8110	Драйвер ядра	Остановлено
vwifibus	Virtual Wireless Bus Driver	vwifibus.sys	10.0.15063.0	Драйвер ядра	Остановлено
vwififlt	Virtual WiFi Filter Driver	vwififlt.sys	10.0.15063.0	Драйвер ядра	Выполняется
WacomPen	Wacom - драйвер пера последовательного порта	wacompen.sys	10.0.15063.0	Драйвер ядра	Остановлено
wanarp	Драйвер IP ARP для удаленного доступа	wanarp.sys	10.0.15063.0	Драйвер ядра	Остановлено
wanarpv6	Драйвер IPv6 ARP для удаленного доступа	wanarp.sys	10.0.15063.0	Драйвер ядра	Остановлено
wcifs	Windows Container Isolation	wcifs.sys	10.0.15063.447	Драйвер файловой системы	Выполняется
wcnfs	Windows Container Name Virtualization	wcnfs.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
WdBoot	Драйвер загрузки Windows Defender Antivirus	WdBoot.sys	4.11.15063.0	Драйвер ядра	Остановлено
Wdf01000	Служба платформ драйвера режима ядра	Wdf01000.sys	1.21.15063.0	Драйвер ядра	Выполняется
WdFilter	Драйвер мини-фильтра Windows Defender Antivirus	WdFilter.sys	4.11.15063.0	Драйвер файловой системы	Остановлено
wdiwifi	WDI Driver Framework	wdiwifi.sys	10.0.15063.447	Драйвер ядра	Остановлено
WdNisDrv	Системный драйвер проверки сети Windows Defender Antivirus	WdNisDrv.sys	4.11.15063.0	Драйвер ядра	Остановлено
WFPLWFS	Платформа фильтрации Microsoft Windows	wfplwfs.sys	10.0.15063.0	Драйвер ядра	Выполняется
WIMMount	WIMMount	wimmount.sys	10.0.15063.0	Драйвер файловой системы	Остановлено
WindowsTrustedRT	Windows Trusted Execution Environment Class Extension	WindowsTrustedRT.sys	10.0.15063.0	Драйвер ядра	Выполняется
WindowsTrustedRTProxy	Служба безопасности доверенной среды выполнения Microsoft Windows	WindowsTrustedRTProxy.sys	10.0.15063.0	Драйвер ядра	Выполняется
WinMad	WinMad Service	winmad.sys	5.1.11548.0	Драйвер ядра	Остановлено
WinNat	Драйвер NAT Windows	winnat.sys	10.0.15063.0	Драйвер ядра	Остановлено
WINUSB	WinUsb драйвер	WinUSB.SYS	10.0.15063.0	Драйвер ядра	Остановлено
WinVerbs	WinVerbs Service	winverbs.sys	5.1.11548.0	Драйвер ядра	Остановлено
WmiAcpi	Microsoft Windows Management Interface for ACPI	wmiacpi.sys	10.0.15063.0	Драйвер ядра	Выполняется
Wof	Windows Overlay File System Filter Driver			Драйвер файловой системы	Выполняется
WpdUpFltr	WPD Upper Class Filter Driver	WpdUpFltr.sys	10.0.15063.0	Драйвер ядра	Остановлено
ws2ifsl	Драйвер WinSock IFS	ws2ifsl.sys	10.0.15063.0	Драйвер ядра	Остановлено
WudfPf	User Mode Driver Frameworks Platform Driver	WudfPf.sys	10.0.15063.0	Драйвер ядра	Выполняется
WUDFRd	WUDFRd	WUDFRd.sys	10.0.15063.0	Драйвер ядра	Остановлено
WUDFWpdFs	WUDFWpdFs	WUDFRd.sys	10.0.15063.0	Драйвер ядра	Остановлено
xboxgip	Xbox Game Input Protocol Driver	xboxgip.sys	10.0.15063.332	Драйвер ядра	Остановлено
xinputhid	XINPUT HID Filter Driver	xinputhid.sys	10.0.15063.0	Драйвер ядра	Остановлено

Службы


Имя службы	Описание службы	Имя файла	Версия	Тип	Состояние	Учётная запись
AJRouter	Служба маршрутизатора AllJoyn	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	NT AUTHORITY\LocalService
ALG	Служба шлюза уровня приложения	alg.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\LocalService
AppIDSvc	Удостоверение приложения	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
Appinfo	Сведения о приложении	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
AppMgmt	Управление приложениями	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
AppReadiness	Готовность приложений	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
AppVClient	Microsoft App-V Client	AppVClient.exe	10.0.15063.483	Собственный процесс	Остановлено	LocalSystem
AppXSvc	Служба развертывания AppX (AppXSVC)	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
aswbIDSAgent	aswbIDSAgent	aswidsagenta.exe	17.5.3.9168	Собственный процесс	Остановлено	LocalSystem
AudioEndpointBuilder	Средство построения конечных точек Windows Audio	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
Audiosrv	Windows Audio	svchost.exe	10.0.15063.0	Собственный процесс	Выполняется	NT AUTHORITY\LocalService
avast! Antivirus	Avast Antivirus	AvastSvc.exe	17.5.3585.0	Общий процесс	Выполняется	LocalSystem
AxInstSV	Установщик ActiveX (AxInstSV)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
BDESVC	Служба шифрования дисков BitLocker	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
BFE	Служба базовой фильтрации	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	NT AUTHORITY\LocalService
BITS	Фоновая интеллектуальная служба передачи (BITS)	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
BrokerInfrastructure	Служба инфраструктуры фоновых задач	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	LocalSystem
Browser	Браузер компьютеров	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
BthHFSrv	Служба беспроводной связи Bluetooth	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
bthserv	Служба поддержки Bluetooth	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
CDPSvc	Служба платформы подключенных устройств	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
CDPUserSvc_2b970	Служба пользователя платформы подключенных устройств_2b970	svchost.exe	10.0.15063.0	Неизвестно	Выполняется
CertPropSvc	Распространение сертификата	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
ClipSVC	Служба лицензий клиента (ClipSVC)	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
COMSysApp	Системное приложение COM+	dllhost.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
CoreMessagingRegistrar	CoreMessaging	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	NT AUTHORITY\LocalService
CryptSvc	Службы криптографии	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT Authority\NetworkService
CscService	Автономные файлы	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
DcomLaunch	Модуль запуска процессов DCOM-сервера	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	LocalSystem
defragsvc	Оптимизация дисков	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
DeviceAssociationService	Служба сопоставления устройств	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
DeviceInstall	Служба установки устройств	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
DevicesFlowUserSvc_2b970	DevicesFlow_2b970	svchost.exe	10.0.15063.0	Неизвестно	Остановлено
DevQueryBroker	Брокер фонового обнаружения DevQuery	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
Dhcp	DHCP-клиент	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT Authority\LocalService
diagnosticshub.standardcollector.service	Стандартная служба сборщика центра диагностики Microsoft (R)	DiagnosticsHub.StandardCollector.Service.exe	11.0.15063.0	Собственный процесс	Остановлено	LocalSystem
DmEnrollmentSvc	Служба регистрации управления устройством	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
dmwappushservice	dmwappushsvc	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
Dnscache	DNS-клиент	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\NetworkService
DoSvc	Оптимизация доставки	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
dot3svc	Проводная автонастройка	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
DPS	Служба политики диагностики	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
DsmSvc	Диспетчер настройки устройств	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
DsSvc	Служба совместного доступа к данным	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
DusmSvc	Использование данных	svchost.exe	10.0.15063.0	Собственный процесс	Выполняется	NT Authority\LocalService
EapHost	Расширяемый протокол проверки подлинности (EAP)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
EFS	Шифрованная файловая система (EFS)	lsass.exe	10.0.15063.483	Общий процесс	Остановлено	LocalSystem
embeddedmode	Встроенный режим	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
EntAppSvc	Служба управления корпоративными приложениями	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
EventLog	Журнал событий Windows	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
EventSystem	Система событий COM+	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
Fax	Факс	fxssvc.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
fdPHost	Хост поставщика функции обнаружения	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\LocalService
FDResPub	Публикация ресурсов обнаружения функции	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
fhsvc	Служба истории файлов	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
FontCache	Служба кэша шрифтов Windows	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
FontCache3.0.0.0	Кэш шрифтов Windows Presentation Foundation 3.0.0.0	PresentationFontCache.exe	3.0.6920.8795	Собственный процесс	Остановлено	NT Authority\LocalService
FrameServer	Сервер кадров камеры Windows	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
gpsvc	Клиент групповой политики	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
gupdate	Служба Google Update (gupdate)	GoogleUpdate.exe	1.3.33.5	Собственный процесс	Остановлено	LocalSystem
gupdatem	Служба Google Update (gupdatem)	GoogleUpdate.exe	1.3.33.5	Собственный процесс	Остановлено	LocalSystem
hidserv	Доступ к HID-устройствам	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
HomeGroupListener	Прослушиватель домашней группы	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
HomeGroupProvider	Поставщик домашней группы	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
HvHost	Служба узла HV	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
icssvc	Служба Windows Mobile Hotspot	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
IKEEXT	Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
iphlpsvc	Вспомогательная служба IP	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
IpxlatCfgSvc	Служба настройки преобразования IP-адресов	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
irmon	Служба монитора инфракрасной связи	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
KeyIso	Изоляция ключей CNG	lsass.exe	10.0.15063.483	Общий процесс	Выполняется	LocalSystem
KtmRm	KtmRm для координатора распределенных транзакций	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\NetworkService
LanmanServer	Сервер	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
LanmanWorkstation	Рабочая станция	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\NetworkService
lfsvc	Служба географического положения	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
LicenseManager	Служба Windows License Manager	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
lltdsvc	Тополог канального уровня	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
lmhosts	Модуль поддержки NetBIOS через TCP/IP	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
LSM	Диспетчер локальных сеансов	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
MapsBroker	Диспетчер скачанных карт	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
MessagingService_2b970	MessagingService_2b970	svchost.exe	10.0.15063.0	Неизвестно	Остановлено
MpsSvc	Брандмауэр Windows	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
MSDTC	Координатор распределенных транзакций	msdtc.exe	2001.12.10941.16384	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
MSiSCSI	Служба инициатора Майкрософт iSCSI	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
msiserver	Установщик Windows	msiexec.exe	5.0.15063.0	Собственный процесс	Остановлено	LocalSystem
NaturalAuthentication	Проверка подлинности на основе физических параметров	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
NcaSvc	Помощник по подключению к сети	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
NcbService	Посредник подключений к сети	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
NcdAutoSetup	Автоматическая настройка сетевых устройств	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
Netlogon	Сетевой вход в систему	lsass.exe	10.0.15063.483	Общий процесс	Остановлено	LocalSystem
Netman	Сетевые подключения	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
netprofm	Служба списка сетей	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
NetSetupSvc	Служба настройки сети	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
NetTcpPortSharing	Служба общего доступа к портам Net.Tcp	SMSvcHost.exe	4.7.2046.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
NgcCtnrSvc	Контейнер службы Microsoft Passport	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
NgcSvc	Служба Microsoft Passport	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
NlaSvc	Служба сведений о подключенных сетях	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\NetworkService
nsi	Служба интерфейса сохранения сети	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT Authority\LocalService
NvContainerLocalSystem	NVIDIA LocalSystem Container	nvcontainer.exe	1.6.2250.7081	Собственный процесс	Выполняется	LocalSystem
NvContainerNetworkService	NVIDIA NetworkService Container	nvcontainer.exe	1.6.2250.7081	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
NVDisplay.ContainerLocalSystem	NVIDIA Display Container LS	NVDisplay.Container.exe	1.2.0.0	Собственный процесс	Выполняется	LocalSystem
NvTelemetryContainer	NVIDIA Telemetry Container	NvTelemetryContainer.exe	1.4.2237.9333	Собственный процесс	Выполняется	NT AUTHORITY\NetworkService
OneSyncSvc_2b970	Синхронизация узла_2b970	svchost.exe	10.0.15063.0	Неизвестно	Выполняется
p2pimsvc	Диспетчер удостоверения сетевых участников	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
p2psvc	Группировка сетевых участников	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
PcaSvc	Служба помощника по совместимости программ	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
PeerDistSvc	BranchCache	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\NetworkService
PerfHost	Хост библиотеки счетчика производительности	perfhost.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\LocalService
PhoneSvc	Телефонная связь	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
PimIndexMaintenanceSvc_2b970	Служба контактных данных_2b970	svchost.exe	10.0.15063.0	Неизвестно	Выполняется
pla	Журналы и оповещения производительности	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
PlugPlay	Plug and Play	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
PNRPAutoReg	Служба публикации имен компьютеров PNRP	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
PNRPsvc	Протокол PNRP	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
PolicyAgent	Агент политики IPsec	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT Authority\NetworkService
Power	Питание	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	LocalSystem
PrintNotify	Printer Extensions and Notifications	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
ProfSvc	Служба профилей пользователей	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
QWAVE	Quality Windows Audio Video Experience	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
RasAuto	Диспетчер автоматических подключений удаленного доступа	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
RasMan	Диспетчер подключений удаленного доступа	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
RemoteAccess	Маршрутизация и удаленный доступ	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
RemoteRegistry	Удаленный реестр	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
RetailDemo	Служба демонстрации магазина	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
RmSvc	Служба управления радио	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
RpcEptMapper	Сопоставитель конечных точек RPC	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	NT AUTHORITY\NetworkService
RpcLocator	Локатор удаленного вызова процедур (RPC)	locator.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
RpcSs	Удаленный вызов процедур (RPC)	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	NT AUTHORITY\NetworkService
SamSs	Диспетчер учетных записей безопасности	lsass.exe	10.0.15063.483	Общий процесс	Выполняется	LocalSystem
SCardSvr	Смарт-карта	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
ScDeviceEnum	Служба перечисления устройств чтения смарт-карт	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
Schedule	Планировщик заданий	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
SCPolicySvc	Политика удаления смарт-карт	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
SDRSVC	Программа архивации данных	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
seclogon	Вторичный вход в систему	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
SecurityHealthService	Служба Центра безопасности Защитника Windows	SecurityHealthService.exe	4.11.15063.483	Собственный процесс	Выполняется	LocalSystem
SEMgrSvc	Диспетчер платежей и NFC/защищенных элементов	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
SENS	Служба уведомления о системных событиях	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
Sense	Служба Advanced Threat Protection в Защитнике Windows	MsSense.exe		Собственный процесс	Остановлено	LocalSystem
SensorDataService	Служба данных датчиков	SensorDataService.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
SensorService	Служба датчиков	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
SensrSvc	Служба наблюдения за датчиками	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
SessionEnv	Настройка сервера удаленных рабочих столов	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
SharedAccess	Общий доступ к подключению к Интернету (ICS)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
ShellHWDetection	Определение оборудования оболочки	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
shpamsvc	Shared PC Account Manager	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
smphost	SMP дисковых пространств (Майкрософт)	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
SmsRouter	Служба маршрутизатора SMS Microsoft Windows.	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
SNMPTRAP	Ловушка SNMP	snmptrap.exe	10.0.15063.332	Собственный процесс	Остановлено	NT AUTHORITY\LocalService
spectrum	Служба восприятия Windows	spectrum.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\LocalService
Spooler	Диспетчер печати	spoolsv.exe	10.0.15063.0	Собственный процесс	Выполняется	LocalSystem
sppsvc	Защита программного обеспечения	sppsvc.exe	10.0.15063.0	Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
SSDPSRV	Обнаружение SSDP	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
SstpSvc	Служба SSTP	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
StateRepository	Служба репозитория состояний	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
Steam Client Service	Steam Client Service	SteamService.exe	4.5.78.60	Собственный процесс	Остановлено	LocalSystem
stisvc	Служба загрузки изображений Windows (WIA)	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	NT Authority\LocalService
StorSvc	Служба хранилища	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
svsvc	Быстрая проверка	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
swprv	Программный поставщик теневого копирования (Microsoft)	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
SysMain	Superfetch	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
SystemEventsBroker	Брокер системных событий	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	LocalSystem
TabletInputService	Служба сенсорной клавиатуры и панели рукописного ввода	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
TapiSrv	Телефония	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\NetworkService
TermService	Службы удаленных рабочих столов	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\NetworkService
Themes	Темы	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
TieringEngineService	Управление уровнями хранилища	TieringEngineService.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
tiledatamodelsvc	Сервер моделей данных плиток	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
TimeBrokerSvc	Брокер времени	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
TokenBroker	TokenBroker	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
TrkWks	Клиент отслеживания изменившихся связей	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
TrustedInstaller	Установщик модулей Windows	TrustedInstaller.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
tzautoupdate	Автоматическое обновление часового пояса	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
UevAgentService	Служба виртуализации взаимодействия с пользователем	AgentService.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
UI0Detect	Обнаружение интерактивных служб	UI0Detect.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
UmRdpService	Перенаправитель портов пользовательского режима служб удаленных рабочих столов	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
Unchecky	Unchecky	unchecky_svc.exe	1.0.2.0	Собственный процесс	Выполняется	LocalSystem
UnistoreSvc_2b970	Служба хранения данных пользователя_2b970	svchost.exe	10.0.15063.0	Неизвестно	Выполняется
upnphost	Узел универсальных PNP-устройств	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
UserDataSvc_2b970	Служба доступа к данным пользователя_2b970	svchost.exe	10.0.15063.0	Неизвестно	Выполняется
UserManager	Диспетчер пользователей	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
UsoSvc	Update Orchestrator Service	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
VaultSvc	Диспетчер учетных данных	lsass.exe	10.0.15063.483	Общий процесс	Выполняется	LocalSystem
vds	Виртуальный диск	vds.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
vmicguestinterface	Интерфейс гостевой службы Hyper-V	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
vmicheartbeat	Служба пульса (Hyper-V)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
vmickvpexchange	Служба обмена данными (Hyper-V)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
vmicrdv	Служба виртуализации удаленных рабочих столов Hyper-V	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
vmicshutdown	Служба завершения работы в качестве гостя (Hyper-V)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
vmictimesync	Служба синхронизации времени Hyper-V	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
vmicvmsession	Служба Hyper-V PowerShell Direct	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
vmicvss	Служба запросов на теневое копирование томов Hyper-V	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
VSS	Теневое копирование тома	vssvc.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
W32Time	Служба времени Windows	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
WalletService	Служба кошелька	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
wbengine	Служба модуля архивации на уровне блоков	wbengine.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
WbioSrvc	Биометрическая служба Windows	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
Wcmsvc	Диспетчер подключений Windows	svchost.exe	10.0.15063.0	Собственный процесс	Выполняется	NT Authority\LocalService
wcncsvc	Немедленные подключения Windows - регистратор настройки	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
WdiServiceHost	Узел службы диагностики	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
WdiSystemHost	Узел системы диагностики	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
WdNisSvc	Служба проверки сети Windows Defender Antivirus	NisSrv.exe		Собственный процесс	Остановлено	NT AUTHORITY\LocalService
WebClient	Веб-клиент	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
Wecsvc	Сборщик событий Windows	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\NetworkService
WEPHOSTSVC	Служба узла поставщика шифрования Windows	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
wercplsupport	Поддержка элемента панели управления "Отчеты о проблемах и их решениях"	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	localSystem
WerSvc	Служба регистрации ошибок Windows	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
WFDSConMgrSvc	Служба диспетчера подключений служб Wi-Fi Direct	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
WiaRpc	События получения неподвижных изображений	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
WinDefend	Антивирусная программа "Защитника Windows"	MsMpEng.exe		Собственный процесс	Остановлено	LocalSystem
WinHttpAutoProxySvc	Служба автоматического обнаружения веб-прокси WinHTTP	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	NT AUTHORITY\LocalService
Winmgmt	Инструментарий управления Windows	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	localSystem
WinRM	Служба удаленного управления Windows (WS-Management)	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\NetworkService
wisvc	Служба предварительной оценки Windows	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
WlanSvc	Служба автонастройки WLAN	svchost.exe	10.0.15063.0	Собственный процесс	Остановлено	LocalSystem
wlidsvc	Помощник по входу в учетную запись Майкрософт	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
wlpasvc	Служба LPA	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
wmiApSrv	Адаптер производительности WMI	WmiApSrv.exe	10.0.15063.0	Собственный процесс	Остановлено	localSystem
WMPNetworkSvc	Служба общих сетевых ресурсов проигрывателя Windows Media	wmpnetwk.exe		Собственный процесс	Остановлено	NT AUTHORITY\NetworkService
workfolderssvc	Рабочие папки	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
WPDBusEnum	Служба перечислителя переносных устройств	svchost.exe	10.0.15063.0	Неизвестно	Остановлено	LocalSystem
WpnService	Служба системы push-уведомлений Windows	svchost.exe	10.0.15063.0	Неизвестно	Выполняется	LocalSystem
WpnUserService_2b970	Пользовательская служба push-уведомлений Windows_2b970	svchost.exe	10.0.15063.0	Неизвестно	Выполняется
wscsvc	Центр обеспечения безопасности	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT AUTHORITY\LocalService
WSearch	Windows Search	SearchIndexer.exe	7.0.15063.413	Собственный процесс	Выполняется	LocalSystem
wuauserv	Центр обновления Windows	svchost.exe	10.0.15063.0	Общий процесс	Выполняется	LocalSystem
wudfsvc	Windows Driver Foundation - среда выполнения платформы драйвера режима пользователя	svchost.exe	10.0.15063.0	Собственный процесс	Выполняется	LocalSystem
WwanSvc	Автонастройка WWAN	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	NT Authority\LocalService
xbgm	Xbox Game Monitoring	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
XblAuthManager	Диспетчер проверки подлинности Xbox Live	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
XblGameSave	Сохранение игр на Xbox Live	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
XboxGipSvc	Xbox Accessory Management Service	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem
XboxNetApiSvc	Сетевая служба Xbox Live	svchost.exe	10.0.15063.0	Общий процесс	Остановлено	LocalSystem

Видео Windows


[ NVIDIA GeForce GTX 1060 6GB ]

	Свойства видеоадаптера:
		Описание устройства	NVIDIA GeForce GTX 1060 6GB
		Строка адаптера	GeForce GTX 1060 6GB
		Строка BIOS	Version86.6.39.0.a8
		Тип видеопроцессора	GeForce GTX 1060 6GB
		Тип DAC	Integrated RAMDAC
		Дата драйвера	18.07.2017
		Версия драйвера	22.21.13.8494 - nVIDIA ForceWare 384.94
		Поставщик драйвера	NVIDIA
		Объем видеоОЗУ	6 ГБ

	Установленные драйверы:
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll

	Производитель видеоадаптера:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/products.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

[ NVIDIA GeForce GTX 1060 6GB ]

	Свойства видеоадаптера:
		Описание устройства	NVIDIA GeForce GTX 1060 6GB
		Строка адаптера	GeForce GTX 1060 6GB
		Строка BIOS	Version86.6.39.0.a8
		Тип видеопроцессора	GeForce GTX 1060 6GB
		Тип DAC	Integrated RAMDAC
		Дата драйвера	18.07.2017
		Версия драйвера	22.21.13.8494 - nVIDIA ForceWare 384.94
		Поставщик драйвера	NVIDIA
		Объем видеоОЗУ	6 ГБ

	Установленные драйверы:
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll

	Производитель видеоадаптера:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/products.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

[ NVIDIA GeForce GTX 1060 6GB ]

	Свойства видеоадаптера:
		Описание устройства	NVIDIA GeForce GTX 1060 6GB
		Строка адаптера	GeForce GTX 1060 6GB
		Строка BIOS	Version86.6.39.0.a8
		Тип видеопроцессора	GeForce GTX 1060 6GB
		Тип DAC	Integrated RAMDAC
		Дата драйвера	18.07.2017
		Версия драйвера	22.21.13.8494 - nVIDIA ForceWare 384.94
		Поставщик драйвера	NVIDIA
		Объем видеоОЗУ	6 ГБ

	Установленные драйверы:
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll

	Производитель видеоадаптера:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/products.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

[ NVIDIA GeForce GTX 1060 6GB ]

	Свойства видеоадаптера:
		Описание устройства	NVIDIA GeForce GTX 1060 6GB
		Строка адаптера	GeForce GTX 1060 6GB
		Строка BIOS	Version86.6.39.0.a8
		Тип видеопроцессора	GeForce GTX 1060 6GB
		Тип DAC	Integrated RAMDAC
		Дата драйвера	18.07.2017
		Версия драйвера	22.21.13.8494 - nVIDIA ForceWare 384.94
		Поставщик драйвера	NVIDIA
		Объем видеоОЗУ	6 ГБ

	Установленные драйверы:
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumdx.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll
		C:\WINDOWS\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_24ddebfb518b5a55\nvldumd.dll

	Производитель видеоадаптера:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/products.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

Графический процессор


[ PCI Express 3.0 x16: MSI GTX 1060 Armor 6G OC (MS-V328) ]

	Свойства графического процессора:
		Видеоадаптер	MSI GTX 1060 Armor 6G OC (MS-V328)
		Версия BIOS	86.06.39.00.A8
		Дата BIOS	16.01.2017
		Кодовое название ГП	GP106-400
		PCI-устройство	10DE-1C03 / 1462-3283 (Rev A1)
		Число транзисторов	4400 млн.
		Технологический процесс	16 nm
		Размер кристалла	200 mm2
		Тип шины	PCI Express 3.0 x16 @ 1.1 x16
		Объем видеоОЗУ	6 ГБ
		Частота ГП	139 МГц
		Частота RAMDAC	400 МГц
		Пиксельные конвейеры	48
		Единицы наложения текстур	80
		Объединённые шейдеры	1280 (v5.0)
		Аппаратная поддержка DirectX	DirectX v12
		Версия WDDM	Unknown (ID = 2200)

	Свойства шины памяти:
		Тип шины	GDDR5 (Samsung)
		Ширина шины	192 бит
		Реальная частота	202 МГц (QDR)
		Эффективная частота	810 МГц
		Пропускная способность	19.0 ГБ/с

	Архитектура:
		Архитектура	nVIDIA Pascal
		Поточные мультипроцессоры (SM)	10
		Кэш L1 текстур	24 КБ per multiprocessor
		Кэш L2	1536 КБ
		Local Data Share	96 КБ

	Теоретическая пиковая производительность:
		Пиксельная скорость заполнения	6672 Мпкс/с @ 139 МГц
		Тексельная скорость заполнения	11120 Мткс/с @ 139 МГц
		FLOPS с одинарной точностью	355.8 GFLOPS @ 139 МГц
		FLOPS с двойной точностью	11.1 GFLOPS @ 139 МГц

	Загрузка:
		Графический процессор	1%
		Контроллер памяти	3%
		Video Engine	0%
		Bus Interface	0%
		Выделенная память	263 МБ
		Динамическая память	41 МБ

	nVIDIA ForceWare Clocks:
		Level #1	Графический процессор: 607 МГц, Память: 405 МГц
		Level #2	Графический процессор: 569 МГц, Память: 810 МГц
		Level #3	Графический процессор: 607 МГц, Память: 3802 МГц
		Level #4	Графический процессор: 607 МГц, Память: 4004 МГц

	Производитель графического процессора:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/products.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

	nVIDIA GPU Registers:
		nv-000000	136000A1
		nv-001538	800003FF
		nv-001704	8017FFC1
		nv-001714	C017FFC2
		nv-00E114	0000021C
		nv-00E118	0000021C
		nv-00E11C	00000001
		nv-00E120	00000000
		nv-00E728	00000000
		nv-00E820	02020015
		nv-00E8A0	02000012
		nv-020008	00002F6A
		nv-020014	023101B6
		nv-0200C4	000000D8
		nv-0200C8	00000000
		nv-0200D8	010000D8
		nv-0200DC	00000000
		nv-020340	000000A0
		nv-020344	00000034
		nv-020348	000000A0
		nv-020400	0000002E
		nv-021000	C0040000
		nv-0214A8	BADF510C
		nv-022400	00000000
		nv-022430	00000002
		nv-022434	00000005
		nv-022438	00000003
		nv-02243C	00000003
		nv-022440	00000004
		nv-088000	1C0310DE
		nv-08A000	10F110DE
		nv-100714	00001615
		nv-101000	00400080
		nv-10100C	02013000
		nv-120070	00000001
		nv-120074	00000003
		nv-120078	00000002
		nv-122634	00000000
		nv-300000	EB78AA55
		nv-310000	CC3F5C09
		nv-700000	00000000
		nv-7E0000	0000BEEF

[ nVIDIA SLI ]

	nVIDIA SLI:
		Статус SLI	Запрещено

Монитор


[ LG E2250 (Analog) ]

	Свойства монитора:
		Имя монитора	LG E2250 (Analog)
		ID монитора	GSM578C
		Модель	E2250
		Тип монитора	22" LCD (FHD)
		Дата выпуска	Неделя 4 / 2010
		Серийный номер	004NDMT1A939
		Макс. видимая область экрана	477 mm x 268 mm (21.5")
		Соотношение сторон	16:9
		Частота строк	30 - 83 кГц
		Частота кадров	56 - 75 Гц
		Максимальная пиксельная частота	150 МГц
		Максимальное разрешение	1920 x 1080
		Плотность пикселов	102 ppi
		Гамма	2.20
		Поддерживаемые режимы DPMS	Standby, Suspend, Active-Off

	Поддерживаемые видеорежимы:
		640 x 480	60 Гц
		640 x 480	75 Гц
		720 x 400	70 Гц
		800 x 600	60 Гц
		800 x 600	75 Гц
		1024 x 768	60 Гц
		1024 x 768	75 Гц
		1152 x 864	75 Гц
		1280 x 1024	60 Гц
		1280 x 1024	75 Гц
		1680 x 1050	60 Гц
		1920 x 1080	Пиксельная частота: 148.50 МГц

	Производитель монитора:
		Фирма	LG Electronics
		Информация о продукте	http://www.lg.com/us/monitors
		Загрузка драйверов	http://www.lg.com/us/support
		Обновление драйверов	http://www.aida64.com/driver-updates

Мультимонитор


ID устройства	Первичный	Верхний левый угол	Нижний правый угол
\\.\DISPLAY1	Да	(0,0)	(1920,1080)

Аудио Windows


Устройство	Идентификатор	Описание устройства
midi-out.0	0001 001B	Microsoft GS Wavetable Synth
mixer.0	FFFF FFFF	Динамики (2- Samson Meteor Mic)
mixer.1	FFFF FFFF	Микрофон (2- Samson Meteor Mic)
wave-in.0	FFFF FFFF	Микрофон (2- Samson Meteor Mic)
wave-out.0	FFFF FFFF	Динамики (2- Samson Meteor Mic)

Аудио PCI / PnP


		Описание устройства	Тип
		nVIDIA HDMI/DP @ nVIDIA GP106 - High Definition Audio Controller	PCI
		Realtek ALC887 @ Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech)	PCI

HD Audio


[ Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech) ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech)
		Описание устройства (Windows)	Контроллер High Definition Audio (Microsoft)
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 31 / 3
		ID устройства	8086-A2F0
		Субсистемный идентификатор	1462-FA74
		Версия	00
		Аппаратный ID	PCI\VEN_8086&DEV_A2F0&SUBSYS_FA741462&REV_00

	Производитель устройства:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Realtek ALC887 ]

	Свойства устройства:
		Описание устройства	Realtek ALC887
		Описание устройства (Windows)	Устройство с поддержкой High Definition Audio
		Тип устройства	Audio
		Тип шины	HDAUDIO
		ID устройства	10EC-0887
		Субсистемный идентификатор	1462-FA74
		Версия	1003
		Аппаратный ID	HDAUDIO\FUNC_01&VEN_10EC&DEV_0887&SUBSYS_1462FA74&REV_1003

	Производитель устройства:
		Фирма	Realtek Semiconductor Corp.
		Информация о продукте	http://www.realtek.com.tw/products/productsView.aspx?Langid=1&PNid=8&PFid=14&Level=3&Conn=2
		Загрузка драйверов	http://www.realtek.com.tw/downloads
		Обновление драйверов	http://www.aida64.com/driver-updates

[ nVIDIA GP106 - High Definition Audio Controller ]

	Свойства устройства:
		Описание устройства	nVIDIA GP106 - High Definition Audio Controller
		Описание устройства (Windows)	Контроллер High Definition Audio (Microsoft)
		Тип шины	PCI
		Шина / Устройство / Функция	1 / 0 / 1
		ID устройства	10DE-10F1
		Субсистемный идентификатор	1462-3283
		Версия	A1
		Аппаратный ID	PCI\VEN_10DE&DEV_10F1&SUBSYS_32831462&REV_A1

	Производитель устройства:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/mobo.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ nVIDIA HDMI/DP ]

	Свойства устройства:
		Описание устройства	nVIDIA HDMI/DP
		Описание устройства (Windows)	NVIDIA High Definition Audio
		Тип устройства	Audio
		Тип шины	HDAUDIO
		ID устройства	10DE-0084
		Субсистемный идентификатор	1462-3283
		Версия	1001
		Аппаратный ID	HDAUDIO\FUNC_01&VEN_10DE&DEV_0084&SUBSYS_14623283&REV_1001

	Производитель устройства:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/mobo.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

Хранение данных Windows


[ ST1000DM010-2EP102 ]

	Свойства устройства:
		Описание драйвера	ST1000DM010-2EP102
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	disk.inf
		INF Section	disk_install.NT

[ WDC WDS120G1G0B-00RC30 ]

	Свойства устройства:
		Описание драйвера	WDC WDS120G1G0B-00RC30
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	disk.inf
		INF Section	disk_install.NT

[ Intel(R) 200 Series Chipset Family SATA AHCI Controller ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family SATA AHCI Controller
		Дата драйвера	06.06.2017
		Версия драйвера	15.7.0.1014
		Поставщик драйвера	Intel Corporation
		INF-файл	oem0.inf
		INF Section	iaStorA_inst_8.NTamd64

	Ресурсы устройств:
		IRQ	65536
		Память	DF228000-DF229FFF
		Память	DF22B000-DF22B7FF
		Память	DF22C000-DF22C0FF
		Порт	F020-F03F
		Порт	F040-F043
		Порт	F050-F057

[ Контроллер дискового пространства (Майкрософт) ]

	Свойства устройства:
		Описание драйвера	Microsoft Storage Spaces Controller
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	spaceport.inf
		INF Section	Spaceport_Install

Логические диски


Диск	Тип диска	Файловая система	Общий объём	Занято	Свободно	% свободного	# тома
C:	Локальный диск	NTFS	114018 МБ	38003 МБ	76015 МБ	67 %	7662-33B4
D: (Диск D)	Локальный диск	NTFS	953365 МБ	172126 МБ	781239 МБ	82 %	DE14-9631

Физические диски


[ Диск #1 - ST1000DM010-2EP102 (931 ГБ) ]

	Раздел	Тип раздела	Диск	Начальное смещение	Объём раздела
	#1 (Активный)	NTFS		1 MB	500 MB
	#2	NTFS	D: (Диск D)	501 MB	953366 MB

[ Диск #2 - WDC WDS120G1G0B-00RC30 (111 ГБ) ]

	Раздел	Тип раздела	Диск	Начальное смещение	Объём раздела
	#1	NTFS	C:	1 MB	114018 MB
	#2	Unknown (Code: $27)		114020 MB	451 MB

ASPI


Хост	ID	LUN	Тип устройства	Производитель	Модель	Rev	Дополнительная информация
00	00	00	Дисковый накопитель	ST1000DM	010-2EP102	CC43
00	01	00	Дисковый накопитель	WDC	WDS120G1G0B-00RC	Z331
00	07	00	Хост-адаптер	iaStorA

ATA


[ WDC WDS120G1G0B-00RC30 (171849423551) ]

	Свойства устройства ATA:
		ID модели	WDC WDS120G1G0B-00RC30
		Серийный номер	171849423551
		Версия	Z3311000
		World Wide Name	5-001B44-4A63D43C2
		Тип устройства	SATA-III
		Параметры	цилиндров: 232581, головок: 16, секторов в треке: 63, байт в секторе: 512
		Секторы LBA	234441648
		Размер физического/логического сектора	512 байт / 512 байт
		Мультисекторы	1
		Макс. режим PIO	PIO 4
		Макс. режим MWDMA	MWDMA 2
		Макс. режим UDMA	UDMA 6
		Активный режим UDMA	UDMA 6
		Неформатированная ёмкость	114473 МБ
		Скорость вращения	SSD
		Стандарт ATA	ACS-2

	Свойства устройства ATA:
		48-bit LBA	Поддерживается, Разрешено
		Automatic Acoustic Management (AAM)	Не поддерживается
		Device Configuration Overlay (DCO)	Поддерживается, Разрешено
		DMA Setup Auto-Activate	Поддерживается, Разрешено
		Free-Fall Control	Не поддерживается
		General Purpose Logging (GPL)	Поддерживается, Разрешено
		Hardware Feature Control	Не поддерживается
		Host Protected Area (HPA)	Поддерживается, Разрешено
		HPA Security Extensions	Поддерживается, Запрещено
		Hybrid Information Feature	Не поддерживается
		In-Order Data Delivery	Не поддерживается
		Native Command Queuing (NCQ)	Поддерживается
		NCQ Autosense	Не поддерживается
		NCQ Priority Information	Не поддерживается
		NCQ Queue Management Command	Не поддерживается
		NCQ Streaming	Не поддерживается
		Phy Event Counters	Поддерживается
		Read Look-Ahead	Поддерживается, Разрешено
		Release Interrupt	Не поддерживается
		Режим безопасности	Поддерживается, Запрещено
		Sense Data Reporting (SDR)	Не поддерживается
		Service Interrupt	Не поддерживается
		SMART	Поддерживается, Разрешено
		SMART Error Logging	Поддерживается, Разрешено
		SMART Self-Test	Поддерживается, Разрешено
		Software Settings Preservation (SSP)	Поддерживается, Разрешено
		Streaming	Не поддерживается
		Tagged Command Queuing (TCQ)	Не поддерживается
		Кэш записи	Поддерживается, Разрешено
		Write-Read-Verify	Не поддерживается

	Функции SSD:
		Data Set Management	Поддерживается
		Deterministic Read After TRIM	Поддерживается
		Команда TRIM	Поддерживается

	Функции электропитания:
		Энергосбережение (APM)	Поддерживается, Разрешено
		Automatic Partial to Slumber Transitions (APST)	Запрещено
		Device Initiated Interface Power Management (DIPM)	Поддерживается, Разрешено
		Device Sleep (DEVSLP)	Поддерживается
		Extended Power Conditions (EPC)	Не поддерживается
		Host Initiated Interface Power Management (HIPM)	Не поддерживается
		IDLE IMMEDIATE With UNLOAD FEATURE	Не поддерживается
		Link Power State Device Sleep	Поддерживается, Запрещено
		Электропитание	Поддерживается, Разрешено
		Power-Up In Standby (PUIS)	Не поддерживается

	Команды ATA:
		DEVICE RESET	Не поддерживается
		DOWNLOAD MICROCODE	Поддерживается, Разрешено
		FLUSH CACHE	Поддерживается, Разрешено
		FLUSH CACHE EXT	Поддерживается, Разрешено
		NOP	Не поддерживается
		READ BUFFER	Поддерживается, Разрешено
		WRITE BUFFER	Поддерживается, Разрешено

	Физические данные SSD:
		Производитель	Western Digital
		Семейство SSD	Зелёный
		Форм-фактор	M.2 2280
		Форматированная ёмкость	120 ГБ
		Тип контроллера	Silicon Motion SM2256S
		Тип флэш-памяти	SanDisk 15nm TLC NAND
		Физические габариты	80 x 22 x 2.23 mm
		Максимальный вес	6.46 g
		Макс. скорость последовательного чтения	540 МБ/с
		Макс. скорость последовательной записи	430 МБ/с
		Макс. случайное 4-КБ чтение	37000 IOPS
		Макс. случайная 4-КБ запись	63000 IOPS
		Интерфейс	SATA-III
		Скорость передачи данных по интерфейсу	600 МБ/с

	Производитель устройства:
		Фирма	Western Digital Corporation
		Информация о продукте	https://www.wdc.com/products/internal-storage.html
		Обновление драйверов	http://www.aida64.com/driver-updates

[ ST1000DM010-2EP102 (Z9AG3Z1P) ]

	Свойства устройства ATA:
		ID модели	ST1000DM010-2EP102
		Серийный номер	Z9AG3Z1P
		Версия	CC43
		World Wide Name	5-000C50-0A3DB4953
		Тип устройства	SATA-III
		Параметры	цилиндров: 1938021, головок: 16, секторов в треке: 63, байт в секторе: 512
		Секторы LBA	1953525168
		Размер физического/логического сектора	4 КБ / 512 байт
		Мультисекторы	16
		Макс. режим PIO	PIO 4
		Макс. режим MWDMA	MWDMA 2
		Макс. режим UDMA	UDMA 6
		Активный режим UDMA	UDMA 6
		Неформатированная ёмкость	953870 МБ
		Форм-фактор	3.5"
		Скорость вращения	7200 RPM
		Стандарт ATA	ATA8-ACS

	Свойства устройства ATA:
		48-bit LBA	Поддерживается, Разрешено
		Automatic Acoustic Management (AAM)	Не поддерживается
		Device Configuration Overlay (DCO)	Поддерживается, Разрешено
		DMA Setup Auto-Activate	Поддерживается, Разрешено
		Free-Fall Control	Не поддерживается
		General Purpose Logging (GPL)	Поддерживается, Разрешено
		Hardware Feature Control	Не поддерживается
		Host Protected Area (HPA)	Поддерживается, Разрешено
		HPA Security Extensions	Поддерживается, Запрещено
		Hybrid Information Feature	Не поддерживается
		In-Order Data Delivery	Не поддерживается
		Native Command Queuing (NCQ)	Поддерживается
		NCQ Autosense	Поддерживается
		NCQ Priority Information	Не поддерживается
		NCQ Queue Management Command	Не поддерживается
		NCQ Streaming	Не поддерживается
		Phy Event Counters	Поддерживается
		Read Look-Ahead	Поддерживается, Разрешено
		Release Interrupt	Не поддерживается
		Режим безопасности	Поддерживается, Запрещено
		Sense Data Reporting (SDR)	Не поддерживается
		Service Interrupt	Не поддерживается
		SMART	Поддерживается, Разрешено
		SMART Error Logging	Поддерживается, Разрешено
		SMART Self-Test	Поддерживается, Разрешено
		Software Settings Preservation (SSP)	Поддерживается, Разрешено
		Streaming	Не поддерживается
		Tagged Command Queuing (TCQ)	Не поддерживается
		Кэш записи	Поддерживается, Разрешено
		Write-Read-Verify	Поддерживается, Запрещено

	Функции SSD:
		Data Set Management	Не поддерживается
		Deterministic Read After TRIM	Не поддерживается
		Команда TRIM	Не поддерживается

	Функции электропитания:
		Энергосбережение (APM)	Поддерживается, Разрешено
		Automatic Partial to Slumber Transitions (APST)	Запрещено
		Device Initiated Interface Power Management (DIPM)	Поддерживается, Разрешено
		Device Sleep (DEVSLP)	Не поддерживается
		Extended Power Conditions (EPC)	Не поддерживается
		Host Initiated Interface Power Management (HIPM)	Не поддерживается
		IDLE IMMEDIATE With UNLOAD FEATURE	Не поддерживается
		Link Power State Device Sleep	Не поддерживается
		Электропитание	Поддерживается, Разрешено
		Power-Up In Standby (PUIS)	Поддерживается, Запрещено

	Команды ATA:
		DEVICE RESET	Не поддерживается
		DOWNLOAD MICROCODE	Поддерживается, Разрешено
		FLUSH CACHE	Поддерживается, Разрешено
		FLUSH CACHE EXT	Поддерживается, Разрешено
		NOP	Не поддерживается
		READ BUFFER	Поддерживается, Разрешено
		WRITE BUFFER	Поддерживается, Разрешено

	Физические данные дискового накопителя:
		Производитель	Seagate
		Название жёсткого диска	Barracuda
		Форм-фактор	3.5"
		Форматированная ёмкость	1 ТБ
		Диски	1
		Записываемые поверхности	2
		Физические габариты	146.99 x 101.6 x 20.17 mm
		Максимальный вес	400 g
		Средняя задержка раскрутки	4.16 ms
		Скорость вращения	7200 RPM
		Макс. внутренняя скорость данных	2147 Мбит/с
		Среднее время поиска	8.5 ms
		Интерфейс	SATA-III
		Скорость данных 'буфер-контроллер'	600 МБ/с
		Объём буфера	64 МБ
		Время раскрутки	10 сек

	Производитель устройства:
		Фирма	Seagate Technology LLC
		Информация о продукте	http://www.seagate.com/gb/en
		Обновление драйверов	http://www.aida64.com/driver-updates

SMART


[ WDC WDS120G1G0B-00RC30 (171849423551) ]

	ID	Описание атрибута	Порог	Значение	Наихудшее	Данные	Статус
	05	Reallocated Sector Count	0	100	100	0	OK: Всегда пройдено
	09	Power-On Hours Count	0	0	100	25	OK: Всегда пройдено
	0C	Power Cycle Count	0	100	100	23	OK: Всегда пройдено
	A5	SLC Block Erase Count	0	100	100	8595177533	OK: Всегда пройдено
	A6	Minimum P/E Cycles	0	100	100	0	OK: Всегда пройдено
	A7	Maximum Bad Blocks Per Die	0	100	100	0	OK: Всегда пройдено
	A8	Maximum P/E Cycles	0	100	100	1	OK: Всегда пройдено
	A9	Total Bad Blocks	0	100	100	0	OK: Всегда пройдено
	AA	Grown Bad Blocks	0	100	100	0	OK: Всегда пройдено
	AB	Program Fail Count	0	100	100	0	OK: Всегда пройдено
	AC	Erase Fail Count	0	100	100	0	OK: Всегда пройдено
	AD	Average P/E Cycles	0	100	100	0	OK: Всегда пройдено
	AE	Unexpected Power Loss Count	0	100	100	12	OK: Всегда пройдено
	BB	Reported Uncorrectable Errors	0	100	100	0	OK: Всегда пройдено
	BC	Command Timeout	0	100	100	0	OK: Всегда пройдено
	C2	Enclosure Temperature	0	59	43	41	OK: Всегда пройдено
	C7	CRC Error Count	0	100	100	0	OK: Всегда пройдено
	E6	Media Wearout Indicator	0	100	100	85900197908	OK: Всегда пройдено
	E8	Available Reserved Space	4	100	100	100%	OK: Значение нормальное
	E9	NAND GB Written	0	100	100	114	OK: Всегда пройдено
	EA	NAND GB Written SLC	0	100	100	282	OK: Всегда пройдено
	F1	Total GB Written	0	253	253	179	OK: Всегда пройдено
	F2	Total GB Read	0	253	253	133	OK: Всегда пройдено
	F4	Temperature Throttle Status	0	0	100	0	OK: Всегда пройдено

[ ST1000DM010-2EP102 (Z9AG3Z1P) ]

	ID	Описание атрибута	Порог	Значение	Наихудшее	Данные	Статус
	01	Raw Read Error Rate	6	74	64	26226949	OK: Значение нормальное
	03	Spinup Time	0	97	97	0	OK: Всегда пройдено
	04	Start/Stop Count	20	100	100	23	OK: Значение нормальное
	05	Reallocated Sector Count	10	100	100	0	OK: Значение нормальное
	07	Seek Error Rate	45	100	253	648378	OK: Значение нормальное
	09	Power-On Time Count	0	100	100	33	OK: Всегда пройдено
	0A	Spinup Retry Count	97	100	100	0	OK: Значение нормальное
	0C	Power Cycle Count	20	100	100	23	OK: Значение нормальное
	B7	<зависит от поставщика>	0	100	100	0	OK: Всегда пройдено
	B8	End-to-End Error	99	100	100	0	OK: Значение нормальное
	BB	Reported Uncorrectable Errors	0	100	100	0	OK: Всегда пройдено
	BC	Command Timeout	0	100	100	0	OK: Всегда пройдено
	BD	High Fly Writes	0	100	100	0	OK: Всегда пройдено
	BE	Airflow Temperature	40	62	58	38	OK: Значение нормальное
	C1	Load/Unload Cycle Count	0	100	100	23	OK: Всегда пройдено
	C2	Temperature	0	38	25	38	OK: Всегда пройдено
	C3	Hardware ECC Recovered	0	2	1	26226949	OK: Всегда пройдено
	C5	Current Pending Sector Count	0	100	100	0	OK: Всегда пройдено
	C6	Offline Uncorrectable Sector Count	0	100	100	0	OK: Всегда пройдено
	C7	Ultra ATA CRC Error Rate	0	200	200	0	OK: Всегда пройдено
	F0	Head Flying Hours	0	100	253	32	OK: Всегда пройдено
	F1	Total Host Writes	0	100	253	542281696	OK: Всегда пройдено
	F2	Total Host Reads	0	100	253	258278663	OK: Всегда пройдено

Сеть Windows


[ Realtek PCIe GBE Family Controller ]

	Свойства сетевого адаптера:
		Сетевой адаптер	Realtek PCIe GBE Family Controller
		Тип интерфейса	Ethernet
		Аппаратный адрес	30-9C-23-0C-F3-31
		Соединение	Ethernet
		Скорость соединения	100 Mbps
		MTU	1500 байт
		DHCP-аренда получена	09.08.2017 17:25:19
		DHCP-аренда истекает	10.08.2017 17:25:19
		Получено байт	39960831 (38.1 МБ)
		Отправлено байт	7164747 (6.8 МБ)

	Адреса сетевого адаптера:
		IP / маска подсети	192.168.1.35 / 255.255.255.0
		Шлюз	192.168.1.1
		DHCP	192.168.1.1
		DNS	192.168.1.1

	Производитель сетевого адаптера:
		Фирма	Realtek Semiconductor Corp.
		Информация о продукте	http://www.realtek.com.tw/products/productsView.aspx?Langid=1&PNid=7&PFid=10&Level=3&Conn=2
		Загрузка драйверов	http://www.realtek.com.tw/downloads
		Обновление драйверов	http://www.aida64.com/driver-updates

Сеть PCI / PnP


		Описание устройства	Тип
		Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter (PHY: Realtek RTL8111)	PCI

Файлы DirectX


Имя	Версия	Тип	Язык	Размер	Дата
amstream.dll	10.00.15063.0000	Final Retail	Русский	80384	18.03.2017 23:58:44
bdaplgin.ax	10.00.15063.0000	Final Retail	Русский	76800	18.03.2017 23:58:44
d2d1.dll	10.00.15063.0502	Final Retail	Russian	5225984	07.08.2017 4:22:08
d3d10.dll	10.00.15063.0000	Final Retail	English	1046528	18.03.2017 23:59:00
d3d10_1.dll	10.00.15063.0000	Final Retail	English	154112	18.03.2017 23:59:00
d3d10_1core.dll	10.00.15063.0000	Final Retail	English	346112	18.03.2017 23:59:00
d3d10core.dll	10.00.15063.0000	Final Retail	English	311296	18.03.2017 23:59:00
d3d10level9.dll	10.00.15063.0000	Final Retail	English	348656	18.03.2017 23:58:52
d3d10warp.dll	10.00.15063.0447	Final Retail	English	2475136	07.08.2017 4:22:08
d3d11.dll	10.00.15063.0000	Final Retail	English	2417840	18.03.2017 23:58:54
d3d12.dll	10.00.15063.0000	Final Retail	English	992808	18.03.2017 23:58:54
d3d8.dll	10.00.15063.0000	Final Retail	Английский	720896	18.03.2017 23:59:00
d3d8thk.dll	10.00.15063.0000	Final Retail	Английский	12800	18.03.2017 23:59:00
d3d9.dll	10.00.15063.0000	Final Retail	Английский	1436952	18.03.2017 23:59:00
d3dim.dll	10.00.15063.0000	Final Retail	Английский	395776	18.03.2017 23:58:59
d3dim700.dll	10.00.15063.0000	Final Retail	Английский	423936	18.03.2017 23:58:59
d3dramp.dll	10.00.15063.0000	Final Retail	Английский	595456	18.03.2017 23:58:59
d3dxof.dll	10.00.15063.0000	Final Retail	Английский	57856	18.03.2017 23:58:59
ddraw.dll	10.00.15063.0000	Final Retail	Русский	545792	18.03.2017 23:58:59
ddrawex.dll	10.00.15063.0000	Final Retail	Английский	44544	18.03.2017 23:58:59
devenum.dll	10.00.15063.0000	Final Retail	Русский	82160	18.03.2017 23:58:44
dinput.dll	10.00.15063.0000	Final Retail	Русский	134656	18.03.2017 23:58:44
dinput8.dll	10.00.15063.0000	Final Retail	Русский	175104	18.03.2017 23:58:44
dmband.dll	10.00.15063.0000	Final Retail	Английский	34816	18.03.2017 23:58:44
dmcompos.dll	10.00.15063.0000	Final Retail	Английский	74752	18.03.2017 23:58:44
dmime.dll	10.00.15063.0000	Final Retail	Английский	204288	18.03.2017 23:58:44
dmloader.dll	10.00.15063.0000	Final Retail	Английский	42496	18.03.2017 23:58:44
dmscript.dll	10.00.15063.0000	Final Retail	Английский	95232	18.03.2017 23:58:44
dmstyle.dll	10.00.15063.0000	Final Retail	Английский	119808	18.03.2017 23:58:44
dmsynth.dll	10.00.15063.0000	Final Retail	Английский	114176	18.03.2017 23:58:44
dmusic.dll	10.00.15063.0000	Final Retail	Русский	112128	18.03.2017 23:58:44
dplaysvr.exe	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dplayx.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpmodemx.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpnaddr.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpnathlp.dll	10.00.15063.0000	Final Retail	English	8192	18.03.2017 23:58:46
dpnet.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpnhpast.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpnhupnp.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpnlobby.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpnsvr.exe	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dpwsockx.dll	10.00.15063.0000	Final Retail	Английский	8192	18.03.2017 23:58:44
dsdmo.dll	10.00.15063.0000	Final Retail	Английский	185344	18.03.2017 23:58:44
dsound.dll	10.00.15063.0000	Final Retail	Русский	488960	18.03.2017 23:58:44
dswave.dll	10.00.15063.0000	Final Retail	Английский	23552	18.03.2017 23:58:44
dwrite.dll	10.00.15063.0413	Final Retail	Russian	2341376	07.08.2017 4:22:08
dxdiagn.dll	10.00.15063.0000	Final Retail	Русский	275456	18.03.2017 23:59:00
dxgi.dll	10.00.15063.0502	Final Retail	English	551200	07.08.2017 4:22:08
dxmasf.dll	12.00.15063.0000	Final Retail	Английский	5632	18.03.2017 7:44:58
dxtmsft.dll	11.00.15063.0000	Final Retail	English	397824	18.03.2017 23:59:50
dxtrans.dll	11.00.15063.0447	Final Retail	English	266240	07.08.2017 4:22:00
dxva2.dll	10.00.15063.0000	Final Retail	English	112184	18.03.2017 23:58:56
encapi.dll	10.00.15063.0000	Final Retail	Английский	21504	18.03.2017 23:58:44
gcdef.dll	10.00.15063.0000	Final Retail	Русский	123392	18.03.2017 23:58:44
iac25_32.ax	2.00.0005.0053	Final Retail	Русский	197632	18.03.2017 23:58:45
ir41_32.ax	10.00.15063.0000	Final Retail	Английский	9216	18.03.2017 23:58:45
ir41_qc.dll	10.00.15063.0000	Final Retail	Английский	9216	18.03.2017 23:58:45
ir41_qcx.dll	10.00.15063.0000	Final Retail	Английский	9216	18.03.2017 23:58:45
ir50_32.dll	10.00.15063.0000	Final Retail	Английский	9216	18.03.2017 23:58:45
ir50_qc.dll	10.00.15063.0000	Final Retail	Английский	9216	18.03.2017 23:58:45
ir50_qcx.dll	10.00.15063.0000	Final Retail	Английский	9216	18.03.2017 23:58:45
ivfsrc.ax	5.10.0002.0051	Final Retail	Русский	146944	18.03.2017 23:58:45
joy.cpl	10.00.15063.0000	Final Retail	Русский	91648	18.03.2017 23:58:44
ksproxy.ax	10.00.15063.0000	Final Retail	Русский	229376	18.03.2017 23:58:44
kstvtune.ax	10.00.15063.0000	Final Retail	Русский	92672	18.03.2017 23:58:44
ksuser.dll	10.00.15063.0000	Final Retail	Русский	20216	18.03.2017 23:58:39
kswdmcap.ax	10.00.15063.0000	Final Retail	Русский	117248	18.03.2017 23:58:44
ksxbar.ax	10.00.15063.0000	Final Retail	Русский	56320	18.03.2017 23:58:44
mciqtz32.dll	10.00.15063.0000	Final Retail	Русский	39424	18.03.2017 23:58:44
mfc40.dll	4.01.0000.6140	Final Retail	Русский	924944	18.03.2017 23:58:42
mfc42.dll	6.06.8063.0000	Beta Retail	Русский	1204224	18.03.2017 23:58:50
Microsoft.DirectX.AudioVideoPlayback.dll	5.04.0000.2904	Final Retail	Английский	53248	09.08.2017 17:17:25
Microsoft.DirectX.Diagnostics.dll	5.04.0000.2904	Final Retail	Английский	12800	09.08.2017 17:17:25
Microsoft.DirectX.Direct3D.dll	9.05.0132.0000	Final Retail	Английский	473600	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	5.04.0000.3900	Final Retail	Английский	2676224	09.08.2017 17:17:24
Microsoft.DirectX.Direct3DX.dll	9.04.0091.0000	Final Retail	Английский	2846720	09.08.2017 17:17:24
Microsoft.DirectX.Direct3DX.dll	9.05.0132.0000	Final Retail	Английский	563712	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.06.0168.0000	Final Retail	Английский	567296	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.07.0239.0000	Final Retail	Английский	576000	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.08.0299.0000	Final Retail	Английский	577024	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.09.0376.0000	Final Retail	Английский	577536	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.10.0455.0000	Final Retail	Английский	577536	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.11.0519.0000	Final Retail	Английский	578560	09.08.2017 17:17:25
Microsoft.DirectX.Direct3DX.dll	9.12.0589.0000	Final Retail	Английский	578560	09.08.2017 17:17:25
Microsoft.DirectX.DirectDraw.dll	5.04.0000.2904	Final Retail	Английский	145920	09.08.2017 17:17:25
Microsoft.DirectX.DirectInput.dll	5.04.0000.2904	Final Retail	Английский	159232	09.08.2017 17:17:25
Microsoft.DirectX.DirectPlay.dll	5.04.0000.2904	Final Retail	Английский	364544	09.08.2017 17:17:25
Microsoft.DirectX.DirectSound.dll	5.04.0000.2904	Final Retail	Английский	178176	09.08.2017 17:17:25
Microsoft.DirectX.dll	5.04.0000.2904	Final Retail	Английский	223232	09.08.2017 17:17:25
mpeg2data.ax	10.00.15063.0000	Final Retail	Русский	80384	18.03.2017 23:58:45
mpg2splt.ax	10.00.15063.0000	Final Retail	Английский	215552	18.03.2017 23:58:44
msdmo.dll	10.00.15063.0000	Final Retail	Английский	28992	18.03.2017 23:58:39
msdvbnp.ax	10.00.15063.0000	Final Retail	Русский	70656	18.03.2017 23:58:44
msvidctl.dll	6.05.15063.0000	Final Retail	Русский	2322432	18.03.2017 23:58:45
msyuv.dll	10.00.15063.0000	Final Retail	Английский	24064	18.03.2017 23:58:44
pid.dll	10.00.15063.0000	Final Retail	Английский	37888	18.03.2017 23:58:44
psisdecd.dll	10.00.15063.0000	Final Retail	Русский	492544	18.03.2017 23:58:44
psisrndr.ax	10.00.15063.0000	Final Retail	Русский	84992	18.03.2017 23:58:45
qasf.dll	12.00.15063.0502	Final Retail	Английский	135680	07.08.2017 4:22:07
qcap.dll	10.00.15063.0000	Final Retail	Русский	217600	18.03.2017 23:58:44
qdv.dll	10.00.15063.0000	Final Retail	Русский	296448	18.03.2017 23:58:44
qdvd.dll	10.00.15063.0000	Final Retail	Русский	568320	18.03.2017 23:58:44
qedit.dll	10.00.15063.0000	Final Retail	Русский	562176	18.03.2017 23:58:44
qedwipes.dll	10.00.15063.0000	Final Retail	Английский	733696	18.03.2017 23:58:44
quartz.dll	10.00.15063.0138	Final Retail	Русский	1506816	07.08.2017 4:22:07
vbisurf.ax	10.00.15063.0000	Final Retail	Английский	40448	18.03.2017 23:58:44
vfwwdm32.dll	10.00.15063.0000	Final Retail	Русский	57856	18.03.2017 23:58:44
wsock32.dll	10.00.15063.0000	Final Retail	Русский	16384	18.03.2017 23:58:48

DirectX - видео


[ Первичный видеодрайвер ]

	Свойства DirectDraw:
		Имя драйвера DirectDraw	display
		Описание драйвера DirectDraw	Первичный видеодрайвер
		Драйвер аппаратуры	nvldumd.dll
		Описание аппаратуры	NVIDIA GeForce GTX 1060 6GB

	Свойства Direct3D:
		Всего/свободно видеопамяти	6144 МБ / 5803 МБ
		Битовые глубины рендеринга	8, 16, 32
		Битовые глубины Z-буфера	16, 24, 32
		Multisample Anti-Aliasing Modes	MSAA 2x, MSAA 4x, MSAA 8x, CSAA 8xQ
		Минимальный размер текстуры	1 x 1
		Максимальный размер текстуры	16384 x 16384
		Версия объединённого шейдера	5.1
		Аппаратная поддержка DirectX	DirectX v11.1

	Функции Direct3D:
		Additive Texture Blending	Поддерживается
		AGP Texturing	Поддерживается
		Anisotropic Filtering	Поддерживается
		Automatic Mipmap Generation	Поддерживается
		Bilinear Filtering	Поддерживается
		Compute Shader	Поддерживается
		Cubic Environment Mapping	Поддерживается
		Cubic Filtering	Не поддерживается
		Decal-Alpha Texture Blending	Поддерживается
		Decal Texture Blending	Поддерживается
		Directional Lights	Поддерживается
		DirectX Texture Compression	Не поддерживается
		DirectX Volumetric Texture Compression	Не поддерживается
		Dithering	Поддерживается
		Dot3 Texture Blending	Поддерживается
		Double-Precision Floating-Point	Поддерживается
		Driver Concurrent Creates	Поддерживается
		Driver Command Lists	Поддерживается
		Dynamic Textures	Поддерживается
		Edge Anti-Aliasing	Поддерживается
		Environmental Bump Mapping	Поддерживается
		Environmental Bump Mapping + Luminance	Поддерживается
		Factor Alpha Blending	Поддерживается
		Geometric Hidden-Surface Removal	Не поддерживается
		Geometry Shader	Поддерживается
		Guard Band	Поддерживается
		Hardware Scene Rasterization	Поддерживается
		Hardware Transform & Lighting	Поддерживается
		Legacy Depth Bias	Поддерживается
		Map On Default Buffers	Поддерживается
		Mipmap LOD Bias Adjustments	Поддерживается
		Mipmapped Cube Textures	Поддерживается
		Mipmapped Volume Textures	Поддерживается
		Modulate-Alpha Texture Blending	Поддерживается
		Modulate Texture Blending	Поддерживается
		Non-Square Textures	Поддерживается
		N-Patches	Не поддерживается
		Perspective Texture Correction	Поддерживается
		Point Lights	Поддерживается
		Point Sampling	Поддерживается
		Projective Textures	Поддерживается
		Quintic Bezier Curves & B-Splines	Не поддерживается
		Range-Based Fog	Поддерживается
		Rectangular & Triangular Patches	Не поддерживается
		Rendering In Windowed Mode	Поддерживается
		Runtime Shader Linking	Поддерживается
		Scissor Test	Поддерживается
		Slope-Scale Based Depth Bias	Поддерживается
		Specular Flat Shading	Поддерживается
		Specular Gouraud Shading	Поддерживается
		Specular Phong Shading	Не поддерживается
		Spherical Mapping	Поддерживается
		Spot Lights	Поддерживается
		Stencil Buffers	Поддерживается
		Sub-Pixel Accuracy	Поддерживается
		Subtractive Texture Blending	Поддерживается
		Table Fog	Поддерживается
		Texture Alpha Blending	Поддерживается
		Texture Clamping	Поддерживается
		Texture Mirroring	Поддерживается
		Texture Transparency	Поддерживается
		Texture Wrapping	Поддерживается
		Tiled Resources	Поддерживается
		Triangle Culling	Не поддерживается
		Trilinear Filtering	Поддерживается
		Two-Sided Stencil Test	Поддерживается
		Vertex Alpha Blending	Поддерживается
		Vertex Fog	Поддерживается
		Vertex Tweening	Не поддерживается
		Volume Textures	Поддерживается
		W-Based Fog	Поддерживается
		W-Buffering	Не поддерживается
		Z-Based Fog	Поддерживается
		Z-Bias	Поддерживается
		Z-Test	Поддерживается

	Поддерживаемые коды FourCC:
		3x11	Поддерживается
		3x16	Поддерживается
		AI44	Поддерживается
		AIP8	Поддерживается
		ATOC	Поддерживается
		AV12	Поддерживается
		AYUV	Поддерживается
		NV12	Поддерживается
		NV24	Поддерживается
		NVDB	Поддерживается
		NVDP	Поддерживается
		NVMD	Поддерживается
		P010	Поддерживается
		PLFF	Поддерживается
		SSAA	Поддерживается
		UYVY	Поддерживается
		YUY2	Поддерживается
		YV12	Поддерживается

	Производитель видеоадаптера:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/products.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

DirectX - звук


[ Первичный звуковой драйвер ]

	Свойства DirectSound:
		Описание устройства	Первичный звуковой драйвер
		Модуль драйвера
		Первичные буферы	1
		Мин./макс. частота выборки вторичных буферов	100 / 200000 Гц
		Формат звука первичных буферов	8 бит, 16 бит, Моно, Стерео
		Формат звука вторичных буферов	8 бит, 16 бит, Моно, Стерео
		Всего / свободных звуковых буферов	1 / 0
		Всего / свободных статических звуковых буферов	1 / 0
		Всего / свободных поточных звуковых буферов	1 / 0
		Всего / свободных буферов 3D-звука	0 / 0
		Всего / свободных статических буферов 3D-звука	0 / 0
		Всего / свободных поточных буферов 3D-звука	0 / 0

	Функции DirectSound:
		Сертифицированный драйвер	Нет
		Эмуляция устройства	Нет
		Точная частота выборки	Поддерживается
		DirectSound3D	Не поддерживается
		Creative EAX 1.0	Не поддерживается
		Creative EAX 2.0	Не поддерживается
		Creative EAX 3.0	Не поддерживается
		Creative EAX 4.0	Не поддерживается
		Creative EAX 5.0	Не поддерживается
		I3DL2	Не поддерживается
		Sensaura ZoomFX	Не поддерживается

[ Динамики (2- Samson Meteor Mic) ]

	Свойства DirectSound:
		Описание устройства	Динамики (2- Samson Meteor Mic)
		Модуль драйвера	{0.0.0.00000000}.{2668a47b-06bd-4d0a-8bf9-6c0b17b704b8}
		Первичные буферы	1
		Мин./макс. частота выборки вторичных буферов	100 / 200000 Гц
		Формат звука первичных буферов	8 бит, 16 бит, Моно, Стерео
		Формат звука вторичных буферов	8 бит, 16 бит, Моно, Стерео
		Всего / свободных звуковых буферов	1 / 0
		Всего / свободных статических звуковых буферов	1 / 0
		Всего / свободных поточных звуковых буферов	1 / 0
		Всего / свободных буферов 3D-звука	0 / 0
		Всего / свободных статических буферов 3D-звука	0 / 0
		Всего / свободных поточных буферов 3D-звука	0 / 0

	Функции DirectSound:
		Сертифицированный драйвер	Нет
		Эмуляция устройства	Нет
		Точная частота выборки	Поддерживается
		DirectSound3D	Не поддерживается
		Creative EAX 1.0	Не поддерживается
		Creative EAX 2.0	Не поддерживается
		Creative EAX 3.0	Не поддерживается
		Creative EAX 4.0	Не поддерживается
		Creative EAX 5.0	Не поддерживается
		I3DL2	Не поддерживается
		Sensaura ZoomFX	Не поддерживается

Устройства Windows


[ Устройства ]

	Unknown:
		Неизвестно

	Аудиовходы и аудиовыходы:
		Динамики (2- Samson Meteor Mic)	10.0.15063.502
		Микрофон (2- Samson Meteor Mic)	10.0.15063.502

	Видеоадаптеры:
		NVIDIA GeForce GTX 1060 6GB	22.21.13.8494

	Дисковые устройства:
		ST1000DM010-2EP102	10.0.15063.0
		WDC WDS120G1G0B-00RC30	10.0.15063.0

	Звуковые, игровые и видеоустройства:
		NVIDIA High Definition Audio	1.3.34.27
		NVIDIA Virtual Audio Device (Wave Extensible) (WDM)	3.90.1.0
		Samson Meteor Mic	10.0.15063.502
		Устройство с поддержкой High Definition Audio	10.0.15063.502

	Клавиатуры:
		Клавиатура HID	10.0.15063.0
		Клавиатура HID	10.0.15063.0
		Клавиатура HID	10.0.15063.0
		Стандартная клавиатура PS/2	10.0.15063.0

	Компьютер:
		Компьютер с ACPI на базе x64	10.0.15063.0

	Контроллеры IDE ATA/ATAPI:
		Intel(R) 200 Series Chipset Family SATA AHCI Controller	15.7.0.1014

	Контроллеры USB:
		Корневой USB-концентратор (USB 3.0)	10.0.15063.502
		Расширяемый хост-контроллер Intel(R) USB 3.0 — 1.0 (Майкрософт)	10.0.15063.296
		Составное USB устройство	10.0.15063.0
		Составное USB устройство	10.0.15063.0
		Составное USB устройство	10.0.15063.0
		Универсальный USB-концентратор	10.0.15063.502

	Контроллеры запоминающих устройств:
		Контроллер дискового пространства (Майкрософт)	10.0.15063.0

	Мониторы:
		Универсальный монитор PnP	10.0.15063.0

	Мыши и иные указывающие устройства:
		HID-совместимая мышь	10.0.15063.0
		Мышь Microsoft PS/2	10.0.15063.0

	Очереди печати:
		Fax	10.0.15063.0
		Microsoft Print to PDF	10.0.15063.0
		Microsoft XPS Document Writer	10.0.15063.0
		Корневая очередь печати	10.0.15063.0

	Порты (COM и LPT):
		Последовательный порт (COM1)	10.0.15063.0

	Программные устройства:
		Microsoft Radio Device Enumeration Bus	10.0.15063.0
		Программный синтезатор звуковой таблицы Microsoft	10.0.15063.0

	Процессоры:
		Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz	10.0.15063.0
		Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz	10.0.15063.0
		Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz	10.0.15063.0
		Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz	10.0.15063.0

	Сетевые адаптеры:
		Microsoft Kernel Debug Network Adapter	10.0.15063.0
		Realtek PCIe GBE Family Controller	10.16.323.2017

	Системные устройства:
		CMOS системы и часы реального времени	10.0.15063.0
		Intel(R) 200 Series Chipset Family LPC Controller (B250) - A2C8	10.1.1.40
		Intel(R) 200 Series Chipset Family PCI Express Root Port #7 - A296	10.1.1.40
		Intel(R) 200 Series Chipset Family PMC - A2A1	10.1.1.40
		Intel(R) 200 Series Chipset Family SMBUS - A2A3	10.1.1.40
		Intel(R) 200 Series Chipset Family Thermal subsystem - A2B1	10.1.1.42
		Intel(R) Management Engine Interface	11.7.0.1002
		Intel(R) Watchdog Timer Driver (Intel(R) WDT)	11.0.0.1007
		Intel(R) Xeon(R) E3 - 1200 v6/7th Gen Intel(R) Core(TM) Host Bridge/DRAM Registers - 591F	10.1.1.40
		Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) Gaussian Mixture Model - 1911	10.1.1.13
		Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) PCIe Controller (x16) - 1901	10.1.1.40
		Microsoft ACPI-совместимая система	10.0.15063.502
		NVVHCI Enumerator	2.2.2151.6378
		PCI Express Root Complex	10.0.15063.0
		Remote Desktop Device Redirector Bus	10.0.15063.0
		UMBus перечислитель корневой шины	10.0.15063.0
		Агрегатор процессора ACPI	10.0.15063.0
		Арифметический сопроцессор	10.0.15063.0
		Базовый видеодрайвер (Майкрософт)	10.0.15063.0
		Базовый драйвер отрисовки (Майкрософт)	10.0.15063.413
		Вентилятор ACPI	10.0.15063.0
		Вентилятор ACPI	10.0.15063.0
		Вентилятор ACPI	10.0.15063.0
		Вентилятор ACPI	10.0.15063.0
		Вентилятор ACPI	10.0.15063.0
		Высокоточный таймер событий	10.0.15063.0
		Диспетчер томов	10.0.15063.0
		Драйвер Microsoft System Management BIOS	10.0.15063.0
		Интерфейс управления для ACPI Microsoft Windows	10.0.15063.0
		Интерфейс управления для ACPI Microsoft Windows	10.0.15063.0
		Кнопка питания ACPI	10.0.15063.0
		Кнопка спящего режима ACPI	10.0.15063.0
		Контроллер High Definition Audio (Microsoft)	10.0.15063.502
		Контроллер High Definition Audio (Microsoft)	10.0.15063.502
		Перечислитель виртуальных дисков (Майкрософт)	10.0.15063.0
		Перечислитель виртуальных сетевых адаптеров NDIS	10.0.15063.0
		Перечислитель композитной шины	10.0.15063.0
		Перечислитель программных устройств Plug and Play	10.0.15063.0
		Подключаемый модуль управления питанием Intel(R)	10.0.15063.0
		Программируемый контроллер прерываний	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Ресурсы системной платы	10.0.15063.0
		Системный таймер	10.0.15063.0
		Термальная зона ACPI	10.0.15063.0
		Термальная зона ACPI	10.0.15063.0
		Устаревшее устройство	10.0.15063.0
		Фиксированная функциональная кнопка ACPI	10.0.15063.0

	Теневое копирование томов запоминающих устройств:
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0
		Универсальная теневая копия тома	10.0.15063.0

	Тома хранилища:
		Том	10.0.15063.0
		Том	10.0.15063.0
		Том	10.0.15063.0
		Том	10.0.15063.0

	Устройства HID (Human Interface Devices):
		HID-совместимая гарнитура	10.0.15063.0
		HID-совместимое устройство управления	10.0.15063.0
		HID-совместимое устройство управления	10.0.15063.0
		HID-совместимое устройство управления	10.0.15063.0
		HID-совместимое устройство, определенное поставщиком	10.0.15063.0
		HID-совместимый системный контроллер	10.0.15063.0
		HID-совместимый системный контроллер	10.0.15063.0
		USB-устройство ввода	10.0.15063.0
		USB-устройство ввода	10.0.15063.0
		USB-устройство ввода	10.0.15063.0
		USB-устройство ввода	10.0.15063.0
		USB-устройство ввода	10.0.15063.0
		USB-устройство ввода	10.0.15063.0

[ Unknown / Unknown ]

	Свойства устройства:
		Описание драйвера	Unknown

[ Аудиовходы и аудиовыходы / Динамики (2- Samson Meteor Mic) ]

	Свойства устройства:
		Описание драйвера	Динамики (2- Samson Meteor Mic)
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	audioendpoint.inf
		INF Section	NO_DRV
		Аппаратный ID	MMDEVAPI\AudioEndpoints

[ Аудиовходы и аудиовыходы / Микрофон (2- Samson Meteor Mic) ]

	Свойства устройства:
		Описание драйвера	Микрофон (2- Samson Meteor Mic)
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	audioendpoint.inf
		INF Section	NO_DRV
		Аппаратный ID	MMDEVAPI\AudioEndpoints

[ Видеоадаптеры / NVIDIA GeForce GTX 1060 6GB ]

	Свойства устройства:
		Описание драйвера	NVIDIA GeForce GTX 1060 6GB
		Дата драйвера	18.07.2017
		Версия драйвера	22.21.13.8494
		Поставщик драйвера	NVIDIA
		INF-файл	oem12.inf
		INF Section	Section090
		Аппаратный ID	PCI\VEN_10DE&DEV_1C03&SUBSYS_32831462&REV_A1
		Сведения о размещении	PCI-шина 1, устройство 0, функция 0
		PCI-устройство	MSI GTX 1060 Armor 6G OC (MS-V328) Video Adapter

	Ресурсы устройств:
		IRQ	16
		Память	000A0000-000BFFFF
		Память	C0000000-CFFFFFFF
		Память	D0000000-D1FFFFFF
		Память	DE000000-DEFFFFFF
		Порт	03B0-03BB
		Порт	03C0-03DF
		Порт	E000-E07F

	Производитель видеоадаптера:
		Фирма	Micro-Star Int'l Co.,Ltd.
		Информация о продукте	https://www.msi.com/Graphics-cards
		Загрузка драйверов	https://www.msi.com/support#support_download
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Дисковые устройства / ST1000DM010-2EP102 ]

	Свойства устройства:
		Описание драйвера	ST1000DM010-2EP102
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	disk.inf
		INF Section	disk_install.NT
		Аппаратный ID	SCSI\DiskST1000DM010-2EP102______CC43
		Сведения о размещении	Bus Number 0, Target Id 0, LUN 0

	Производитель устройства:
		Фирма	Seagate Technology LLC
		Информация о продукте	http://www.seagate.com/gb/en
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Дисковые устройства / WDC WDS120G1G0B-00RC30 ]

	Свойства устройства:
		Описание драйвера	WDC WDS120G1G0B-00RC30
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	disk.inf
		INF Section	disk_install.NT
		Аппаратный ID	SCSI\DiskWDC_____WDS120G1G0B-00RCZ331
		Сведения о размещении	Bus Number 0, Target Id 1, LUN 0

	Производитель устройства:
		Фирма	Western Digital Corporation
		Информация о продукте	https://www.wdc.com/products/internal-storage.html
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Звуковые, игровые и видеоустройства / NVIDIA High Definition Audio ]

	Свойства устройства:
		Описание драйвера	NVIDIA High Definition Audio
		Дата драйвера	16.05.2017
		Версия драйвера	1.3.34.27
		Поставщик драйвера	NVIDIA Corporation
		INF-файл	oem13.inf
		INF Section	WINBLUENVHDA64V
		Аппаратный ID	HDAUDIO\FUNC_01&VEN_10DE&DEV_0084&SUBSYS_14623283&REV_1001
		Сведения о размещении	Internal High Definition Audio Bus

	Производитель устройства:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/mobo.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Звуковые, игровые и видеоустройства / NVIDIA Virtual Audio Device (Wave Extensible) (WDM) ]

	Свойства устройства:
		Описание драйвера	NVIDIA Virtual Audio Device (Wave Extensible) (WDM)
		Дата драйвера	28.05.2017
		Версия драйвера	3.90.1.0
		Поставщик драйвера	NVIDIA
		INF-файл	oem9.inf
		INF Section	NVVAD_WaveExtensible64.NT
		Аппаратный ID	USB\VID_0955&PID_9000

	Производитель устройства:
		Фирма	NVIDIA Corporation
		Информация о продукте	http://www.nvidia.com/page/mobo.html
		Загрузка драйверов	http://www.nvidia.com/content/drivers/drivers.asp
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Звуковые, игровые и видеоустройства / Samson Meteor Mic ]

	Свойства устройства:
		Описание драйвера	Samson Meteor Mic
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	wdma_usb.inf
		INF Section	USBAudio
		Аппаратный ID	USB\VID_17A0&PID_0310&REV_0100&MI_00
		Сведения о размещении	0000.0014.0000.004.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Звуковые, игровые и видеоустройства / Устройство с поддержкой High Definition Audio ]

	Свойства устройства:
		Описание драйвера	Устройство с поддержкой High Definition Audio
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	hdaudio.inf
		INF Section	HdAudModel
		Аппаратный ID	HDAUDIO\FUNC_01&VEN_10EC&DEV_0887&SUBSYS_1462FA74&REV_1003
		Сведения о размещении	Internal High Definition Audio Bus

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Клавиатуры / Клавиатура HID ]

	Свойства устройства:
		Описание драйвера	Клавиатура HID
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	keyboard.inf
		INF Section	HID_Keyboard_Inst.NT
		Аппаратный ID	HID\VID_09DA&PID_71E7&REV_9900&MI_00

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Клавиатуры / Клавиатура HID ]

	Свойства устройства:
		Описание драйвера	Клавиатура HID
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	keyboard.inf
		INF Section	HID_Keyboard_Inst.NT
		Аппаратный ID	HID\VID_09DA&PID_71E7&REV_9900&MI_02&Col01

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Клавиатуры / Клавиатура HID ]

	Свойства устройства:
		Описание драйвера	Клавиатура HID
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	keyboard.inf
		INF Section	HID_Keyboard_Inst.NT
		Аппаратный ID	HID\VID_0603&PID_00F2&REV_0112&MI_00

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Клавиатуры / Стандартная клавиатура PS/2 ]

	Свойства устройства:
		Описание драйвера	Стандартная клавиатура PS/2
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	keyboard.inf
		INF Section	STANDARD_Inst
		Аппаратный ID	ACPI\VEN_PNP&DEV_0303

	Ресурсы устройств:
		IRQ	01
		Порт	0060-0060
		Порт	0064-0064

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Компьютер / Компьютер с ACPI на базе x64 ]

	Свойства устройства:
		Описание драйвера	Компьютер с ACPI на базе x64
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	hal.inf
		INF Section	ACPI_AMD64_HAL
		Аппаратный ID	acpiapic

[ Контроллеры IDE ATA/ATAPI / Intel(R) 200 Series Chipset Family SATA AHCI Controller ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family SATA AHCI Controller
		Дата драйвера	06.06.2017
		Версия драйвера	15.7.0.1014
		Поставщик драйвера	Intel Corporation
		INF-файл	oem0.inf
		INF Section	iaStorA_inst_8.NTamd64
		Аппаратный ID	PCI\VEN_8086&DEV_A282&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 23, функция 0
		PCI-устройство	Intel Union Point PCH - SATA AHCI Controller

	Ресурсы устройств:
		IRQ	65536
		Память	DF228000-DF229FFF
		Память	DF22B000-DF22B7FF
		Память	DF22C000-DF22C0FF
		Порт	F020-F03F
		Порт	F040-F043
		Порт	F050-F057

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Контроллеры USB / Корневой USB-концентратор (USB 3.0) ]

	Свойства устройства:
		Описание драйвера	Корневой USB-концентратор (USB 3.0)
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	usbhub3.inf
		INF Section	Generic.Install.NT
		Аппаратный ID	USB\ROOT_HUB30&VID8086&PIDA2AF&REV0000

[ Контроллеры USB / Расширяемый хост-контроллер Intel(R) USB 3.0 — 1.0 (Майкрософт) ]

	Свойства устройства:
		Описание драйвера	Расширяемый хост-контроллер Intel(R) USB 3.0 — 1.0 (Майкрософт)
		Дата драйвера	27.04.2017
		Версия драйвера	10.0.15063.296
		Поставщик драйвера	Microsoft
		INF-файл	usbxhci.inf
		INF Section	Generic.Install.NT
		Аппаратный ID	PCI\VEN_8086&DEV_A2AF&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 20, функция 0
		PCI-устройство	Intel Union Point PCH - USB 3.1 xHCI Host Controller

	Ресурсы устройств:
		IRQ	65536
		Память	DF210000-DF21FFFF

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Контроллеры USB / Составное USB устройство ]

	Свойства устройства:
		Описание драйвера	Составное USB устройство
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	usb.inf
		INF Section	Composite.Dev.NT
		Аппаратный ID	USB\VID_17A0&PID_0310&REV_0100
		Сведения о размещении	Port_#0004.Hub_#0001

[ Контроллеры USB / Составное USB устройство ]

	Свойства устройства:
		Описание драйвера	Составное USB устройство
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	usb.inf
		INF Section	Composite.Dev.NT
		Аппаратный ID	USB\VID_09DA&PID_71E7&REV_9900
		Сведения о размещении	Port_#0010.Hub_#0001

[ Контроллеры USB / Составное USB устройство ]

	Свойства устройства:
		Описание драйвера	Составное USB устройство
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	usb.inf
		INF Section	Composite.Dev.NT
		Аппаратный ID	USB\VID_0603&PID_00F2&REV_0112
		Сведения о размещении	Port_#0003.Hub_#0001

[ Контроллеры USB / Универсальный USB-концентратор ]

	Свойства устройства:
		Описание драйвера	Универсальный USB-концентратор
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	usbhub3.inf
		INF Section	Generic.Install.NT
		Аппаратный ID	USB\VID_1A40&PID_0101&REV_0111
		Сведения о размещении	Port_#0009.Hub_#0001

[ Контроллеры запоминающих устройств / Контроллер дискового пространства (Майкрософт) ]

	Свойства устройства:
		Описание драйвера	Контроллер дискового пространства (Майкрософт)
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	spaceport.inf
		INF Section	Spaceport_Install
		Аппаратный ID	Root\Spaceport

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Мониторы / Универсальный монитор PnP ]

	Свойства устройства:
		Описание драйвера	Универсальный монитор PnP
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	monitor.inf
		INF Section	PnPMonitor.Install
		Аппаратный ID	MONITOR\GSM578C

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Мыши и иные указывающие устройства / HID-совместимая мышь ]

	Свойства устройства:
		Описание драйвера	HID-совместимая мышь
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	msmouse.inf
		INF Section	HID_Mouse_Inst.NT
		Аппаратный ID	HID\VID_09DA&PID_71E7&REV_9900&MI_01

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Мыши и иные указывающие устройства / Мышь Microsoft PS/2 ]

	Свойства устройства:
		Описание драйвера	Мышь Microsoft PS/2
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	msmouse.inf
		INF Section	PS2_Inst
		Аппаратный ID	ACPI\VEN_PNP&DEV_0F03

	Ресурсы устройств:
		IRQ	12

	Производитель мыши:
		Фирма	Microsoft Corporation
		Информация о продукте	http://www.microsoft.com/hardware/en-us/mice
		Загрузка драйверов	http://www.microsoft.com/hardware/en-us/downloads
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Очереди печати / Fax ]

	Свойства устройства:
		Описание драйвера	Fax
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	printqueue.inf
		INF Section	NO_DRV_LOCAL
		Аппаратный ID	PRINTENUM\microsoftmicrosoft_s7d14

[ Очереди печати / Microsoft Print to PDF ]

	Свойства устройства:
		Описание драйвера	Microsoft Print to PDF
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	printqueue.inf
		INF Section	NO_DRV_LOCAL
		Аппаратный ID	PRINTENUM\{084f01fa-e634-4d77-83ee-074817c03581}

[ Очереди печати / Microsoft XPS Document Writer ]

	Свойства устройства:
		Описание драйвера	Microsoft XPS Document Writer
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	printqueue.inf
		INF Section	NO_DRV_LOCAL
		Аппаратный ID	PRINTENUM\{0f4130dd-19c7-7ab6-99a1-980f03b2ee4e}

[ Очереди печати / Корневая очередь печати ]

	Свойства устройства:
		Описание драйвера	Корневая очередь печати
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	printqueue.inf
		INF Section	NO_DRV_LOCAL
		Аппаратный ID	PRINTENUM\LocalPrintQueue

[ Порты (COM и LPT) / Последовательный порт (COM1) ]

	Свойства устройства:
		Описание драйвера	Последовательный порт (COM1)
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	msports.inf
		INF Section	ComPort.NT
		Аппаратный ID	ACPI\VEN_PNP&DEV_0501

	Ресурсы устройств:
		IRQ	04
		Порт	03F8-03FF

[ Программные устройства / Microsoft Radio Device Enumeration Bus ]

	Свойства устройства:
		Описание драйвера	Microsoft Radio Device Enumeration Bus
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	c_swdevice.inf
		INF Section	SoftwareDevice

[ Программные устройства / Программный синтезатор звуковой таблицы Microsoft ]

	Свойства устройства:
		Описание драйвера	Программный синтезатор звуковой таблицы Microsoft
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	c_swdevice.inf
		INF Section	SoftwareDevice

[ Процессоры / Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz ]

	Свойства устройства:
		Описание драйвера	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
		Дата драйвера	21.04.2009
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	cpu.inf
		INF Section	IntelPPM_Inst.NT
		Аппаратный ID	ACPI\GenuineIntel_-_Intel64_Family_6_Model_158

	Производитель ЦП:
		Фирма	Intel Corporation
		Информация о продукте	http://ark.intel.com/search.aspx?q=Intel%20Core%20i5-7400
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Процессоры / Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz ]

	Свойства устройства:
		Описание драйвера	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
		Дата драйвера	21.04.2009
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	cpu.inf
		INF Section	IntelPPM_Inst.NT
		Аппаратный ID	ACPI\GenuineIntel_-_Intel64_Family_6_Model_158

	Производитель ЦП:
		Фирма	Intel Corporation
		Информация о продукте	http://ark.intel.com/search.aspx?q=Intel%20Core%20i5-7400
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Процессоры / Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz ]

	Свойства устройства:
		Описание драйвера	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
		Дата драйвера	21.04.2009
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	cpu.inf
		INF Section	IntelPPM_Inst.NT
		Аппаратный ID	ACPI\GenuineIntel_-_Intel64_Family_6_Model_158

	Производитель ЦП:
		Фирма	Intel Corporation
		Информация о продукте	http://ark.intel.com/search.aspx?q=Intel%20Core%20i5-7400
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Процессоры / Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz ]

	Свойства устройства:
		Описание драйвера	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
		Дата драйвера	21.04.2009
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	cpu.inf
		INF Section	IntelPPM_Inst.NT
		Аппаратный ID	ACPI\GenuineIntel_-_Intel64_Family_6_Model_158

	Производитель ЦП:
		Фирма	Intel Corporation
		Информация о продукте	http://ark.intel.com/search.aspx?q=Intel%20Core%20i5-7400
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Сетевые адаптеры / Microsoft Kernel Debug Network Adapter ]

	Свойства устройства:
		Описание драйвера	Microsoft Kernel Debug Network Adapter
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	kdnic.inf
		INF Section	KdNic.ndi
		Аппаратный ID	root\kdnic

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Сетевые адаптеры / Realtek PCIe GBE Family Controller ]

	Свойства устройства:
		Описание драйвера	Realtek PCIe GBE Family Controller
		Дата драйвера	23.03.2017
		Версия драйвера	10.16.323.2017
		Поставщик драйвера	Realtek
		INF-файл	oem19.inf
		INF Section	RTL8168H.ndi.NT
		Аппаратный ID	PCI\VEN_10EC&DEV_8168&SUBSYS_7A741462&REV_15
		Сведения о размещении	PCI-шина 2, устройство 0, функция 0
		PCI-устройство	Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter

	Ресурсы устройств:
		IRQ	65536
		Память	DF100000-DF103FFF
		Память	DF104000-DF104FFF
		Порт	D000-D0FF

	Производитель сетевого адаптера:
		Фирма	Realtek Semiconductor Corp.
		Информация о продукте	http://www.realtek.com.tw/products/productsView.aspx?Langid=1&PNid=7&PFid=10&Level=3&Conn=2
		Загрузка драйверов	http://www.realtek.com.tw/downloads
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / CMOS системы и часы реального времени ]

	Свойства устройства:
		Описание драйвера	CMOS системы и часы реального времени
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_X
		Аппаратный ID	ACPI\VEN_PNP&DEV_0B00

	Ресурсы устройств:
		IRQ	08
		Порт	0070-0077

[ Системные устройства / Intel(R) 200 Series Chipset Family LPC Controller (B250) - A2C8 ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family LPC Controller (B250) - A2C8
		Дата драйвера	03.01.2017
		Версия драйвера	10.1.1.40
		Поставщик драйвера	INTEL
		INF-файл	oem17.inf
		INF Section	Needs_MSISADRV
		Аппаратный ID	PCI\VEN_8086&DEV_A2C8&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 31, функция 0
		PCI-устройство	Intel B250 Chipset - LPC/eSPI Controller

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Intel(R) 200 Series Chipset Family PCI Express Root Port #7 - A296 ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family PCI Express Root Port #7 - A296
		Дата драйвера	03.01.2017
		Версия драйвера	10.1.1.40
		Поставщик драйвера	INTEL
		INF-файл	oem17.inf
		INF Section	Needs_PCI_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_A296&SUBSYS_7A741462&REV_F0
		Сведения о размещении	PCI-шина 0, устройство 28, функция 0
		PCI-устройство	Intel Union Point PCH - PCI Express Root Port 7

	Ресурсы устройств:
		Память	DF100000-DF1FFFFF
		Порт	D000-DFFF

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Intel(R) 200 Series Chipset Family PMC - A2A1 ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family PMC - A2A1
		Дата драйвера	03.01.2017
		Версия драйвера	10.1.1.40
		Поставщик драйвера	INTEL
		INF-файл	oem17.inf
		INF Section	Needs_NO_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_A2A1&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 31, функция 2
		PCI-устройство	Intel Union Point PCH - Power Management Controller (PMC)

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Intel(R) 200 Series Chipset Family SMBUS - A2A3 ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family SMBUS - A2A3
		Дата драйвера	03.01.2017
		Версия драйвера	10.1.1.40
		Поставщик драйвера	INTEL
		INF-файл	oem17.inf
		INF Section	Needs_NO_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_A2A3&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 31, функция 4
		PCI-устройство	Intel Union Point PCH - SMBus Controller

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Intel(R) 200 Series Chipset Family Thermal subsystem - A2B1 ]

	Свойства устройства:
		Описание драйвера	Intel(R) 200 Series Chipset Family Thermal subsystem - A2B1
		Дата драйвера	01.01.1970
		Версия драйвера	10.1.1.42
		Поставщик драйвера	INTEL
		INF-файл	oem5.inf
		INF Section	Needs_NO_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_A2B1&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 20, функция 2
		PCI-устройство	Intel Union Point PCH - Thermal Management Controller

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Intel(R) Management Engine Interface ]

	Свойства устройства:
		Описание драйвера	Intel(R) Management Engine Interface
		Дата драйвера	12.02.2017
		Версия драйвера	11.7.0.1002
		Поставщик драйвера	Intel
		INF-файл	oem15.inf
		INF Section	TEE_DDI_W10_x64
		Аппаратный ID	PCI\VEN_8086&DEV_A2BA&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 22, функция 0
		PCI-устройство	Intel Union Point PCH - Host Embedded Controller Interface 1 (HECI1)

	Ресурсы устройств:
		IRQ	65536
		Память	FE7FF000-FE7FFFFF

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Intel(R) Watchdog Timer Driver (Intel(R) WDT) ]

	Свойства устройства:
		Описание драйвера	Intel(R) Watchdog Timer Driver (Intel(R) WDT)
		Дата драйвера	20.09.2015
		Версия драйвера	11.0.0.1007
		Поставщик драйвера	Intel
		INF-файл	oem20.inf
		INF Section	ICCWDT.NT
		Аппаратный ID	ACPI\VEN_INT&DEV_3F0D

	Ресурсы устройств:
		Порт	1854-1857

[ Системные устройства / Intel(R) Xeon(R) E3 - 1200 v6/7th Gen Intel(R) Core(TM) Host Bridge/DRAM Registers - 591F ]

	Свойства устройства:
		Описание драйвера	Intel(R) Xeon(R) E3 - 1200 v6/7th Gen Intel(R) Core(TM) Host Bridge/DRAM Registers - 591F
		Дата драйвера	03.01.2017
		Версия драйвера	10.1.1.40
		Поставщик драйвера	INTEL
		INF-файл	oem18.inf
		INF Section	Needs_NO_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_591F&SUBSYS_7A741462&REV_05
		Сведения о размещении	PCI-шина 0, устройство 0, функция 0
		PCI-устройство	Intel Kaby Lake-S - Host Bridge/DRAM Controller

[ Системные устройства / Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) Gaussian Mixture Model - 1911 ]

	Свойства устройства:
		Описание драйвера	Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) Gaussian Mixture Model - 1911
		Дата драйвера	28.10.2015
		Версия драйвера	10.1.1.13
		Поставщик драйвера	INTEL
		INF-файл	oem3.inf
		INF Section	Needs_NO_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_1911&SUBSYS_7A741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 8, функция 0
		PCI-устройство	Intel Skylake - Gaussian Mixture Model

[ Системные устройства / Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) PCIe Controller (x16) - 1901 ]

	Свойства устройства:
		Описание драйвера	Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) PCIe Controller (x16) - 1901
		Дата драйвера	03.01.2017
		Версия драйвера	10.1.1.40
		Поставщик драйвера	INTEL
		INF-файл	oem16.inf
		INF Section	Needs_PCI_DRV
		Аппаратный ID	PCI\VEN_8086&DEV_1901&SUBSYS_7A741462&REV_05
		Сведения о размещении	PCI-шина 0, устройство 1, функция 0
		PCI-устройство	Intel Kaby Lake-S - PCI Express x16 Controller

	Ресурсы устройств:
		Память	000A0000-000BFFFF
		Память	C0000000-D1FFFFFF
		Память	DE000000-DF0FFFFF
		Порт	03B0-03BB
		Порт	03C0-03DF
		Порт	E000-EFFF

	Производитель чипсета:
		Фирма	Intel Corporation
		Информация о продукте	http://www.intel.com/products/chipsets
		Загрузка драйверов	http://support.intel.com/support/chipsets
		Модернизации BIOS	http://www.aida64.com/bios-updates
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Системные устройства / Microsoft ACPI-совместимая система ]

	Свойства устройства:
		Описание драйвера	Microsoft ACPI-совместимая система
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	acpi.inf
		INF Section	ACPI_Inst.NT
		Аппаратный ID	ACPI_HAL\PNP0C08
		PnP-устройство	ACPI Driver/BIOS

	Ресурсы устройств:
		IRQ	100
		IRQ	101
		IRQ	102
		IRQ	103
		IRQ	104
		IRQ	105
		IRQ	106
		IRQ	107
		IRQ	108
		IRQ	109
		IRQ	110
		IRQ	111
		IRQ	112
		IRQ	113
		IRQ	114
		IRQ	115
		IRQ	116
		IRQ	117
		IRQ	118
		IRQ	119
		IRQ	120
		IRQ	121
		IRQ	122
		IRQ	123
		IRQ	124
		IRQ	125
		IRQ	126
		IRQ	127
		IRQ	128
		IRQ	129
		IRQ	130
		IRQ	131
		IRQ	132
		IRQ	133
		IRQ	134
		IRQ	135
		IRQ	136
		IRQ	137
		IRQ	138
		IRQ	139
		IRQ	140
		IRQ	141
		IRQ	142
		IRQ	143
		IRQ	144
		IRQ	145
		IRQ	146
		IRQ	147
		IRQ	148
		IRQ	149
		IRQ	150
		IRQ	151
		IRQ	152
		IRQ	153
		IRQ	154
		IRQ	155
		IRQ	156
		IRQ	157
		IRQ	158
		IRQ	159
		IRQ	160
		IRQ	161
		IRQ	162
		IRQ	163
		IRQ	164
		IRQ	165
		IRQ	166
		IRQ	167
		IRQ	168
		IRQ	169
		IRQ	170
		IRQ	171
		IRQ	172
		IRQ	173
		IRQ	174
		IRQ	175
		IRQ	176
		IRQ	177
		IRQ	178
		IRQ	179
		IRQ	180
		IRQ	181
		IRQ	182
		IRQ	183
		IRQ	184
		IRQ	185
		IRQ	186
		IRQ	187
		IRQ	188
		IRQ	189
		IRQ	190
		IRQ	191
		IRQ	192
		IRQ	193
		IRQ	194
		IRQ	195
		IRQ	196
		IRQ	197
		IRQ	198
		IRQ	199
		IRQ	200
		IRQ	201
		IRQ	202
		IRQ	203
		IRQ	204
		IRQ	256
		IRQ	257
		IRQ	258
		IRQ	259
		IRQ	260
		IRQ	261
		IRQ	262
		IRQ	263
		IRQ	264
		IRQ	265
		IRQ	266
		IRQ	267
		IRQ	268
		IRQ	269
		IRQ	270
		IRQ	271
		IRQ	272
		IRQ	273
		IRQ	274
		IRQ	275
		IRQ	276
		IRQ	277
		IRQ	278
		IRQ	279
		IRQ	280
		IRQ	281
		IRQ	282
		IRQ	283
		IRQ	284
		IRQ	285
		IRQ	286
		IRQ	287
		IRQ	288
		IRQ	289
		IRQ	290
		IRQ	291
		IRQ	292
		IRQ	293
		IRQ	294
		IRQ	295
		IRQ	296
		IRQ	297
		IRQ	298
		IRQ	299
		IRQ	300
		IRQ	301
		IRQ	302
		IRQ	303
		IRQ	304
		IRQ	305
		IRQ	306
		IRQ	307
		IRQ	308
		IRQ	309
		IRQ	310
		IRQ	311
		IRQ	312
		IRQ	313
		IRQ	314
		IRQ	315
		IRQ	316
		IRQ	317
		IRQ	318
		IRQ	319
		IRQ	320
		IRQ	321
		IRQ	322
		IRQ	323
		IRQ	324
		IRQ	325
		IRQ	326
		IRQ	327
		IRQ	328
		IRQ	329
		IRQ	330
		IRQ	331
		IRQ	332
		IRQ	333
		IRQ	334
		IRQ	335
		IRQ	336
		IRQ	337
		IRQ	338
		IRQ	339
		IRQ	340
		IRQ	341
		IRQ	342
		IRQ	343
		IRQ	344
		IRQ	345
		IRQ	346
		IRQ	347
		IRQ	348
		IRQ	349
		IRQ	350
		IRQ	351
		IRQ	352
		IRQ	353
		IRQ	354
		IRQ	355
		IRQ	356
		IRQ	357
		IRQ	358
		IRQ	359
		IRQ	360
		IRQ	361
		IRQ	362
		IRQ	363
		IRQ	364
		IRQ	365
		IRQ	366
		IRQ	367
		IRQ	368
		IRQ	369
		IRQ	370
		IRQ	371
		IRQ	372
		IRQ	373
		IRQ	374
		IRQ	375
		IRQ	376
		IRQ	377
		IRQ	378
		IRQ	379
		IRQ	380
		IRQ	381
		IRQ	382
		IRQ	383
		IRQ	384
		IRQ	385
		IRQ	386
		IRQ	387
		IRQ	388
		IRQ	389
		IRQ	390
		IRQ	391
		IRQ	392
		IRQ	393
		IRQ	394
		IRQ	395
		IRQ	396
		IRQ	397
		IRQ	398
		IRQ	399
		IRQ	400
		IRQ	401
		IRQ	402
		IRQ	403
		IRQ	404
		IRQ	405
		IRQ	406
		IRQ	407
		IRQ	408
		IRQ	409
		IRQ	410
		IRQ	411
		IRQ	412
		IRQ	413
		IRQ	414
		IRQ	415
		IRQ	416
		IRQ	417
		IRQ	418
		IRQ	419
		IRQ	420
		IRQ	421
		IRQ	422
		IRQ	423
		IRQ	424
		IRQ	425
		IRQ	426
		IRQ	427
		IRQ	428
		IRQ	429
		IRQ	430
		IRQ	431
		IRQ	432
		IRQ	433
		IRQ	434
		IRQ	435
		IRQ	436
		IRQ	437
		IRQ	438
		IRQ	439
		IRQ	440
		IRQ	441
		IRQ	442
		IRQ	443
		IRQ	444
		IRQ	445
		IRQ	446
		IRQ	447
		IRQ	448
		IRQ	449
		IRQ	450
		IRQ	451
		IRQ	452
		IRQ	453
		IRQ	454
		IRQ	455
		IRQ	456
		IRQ	457
		IRQ	458
		IRQ	459
		IRQ	460
		IRQ	461
		IRQ	462
		IRQ	463
		IRQ	464
		IRQ	465
		IRQ	466
		IRQ	467
		IRQ	468
		IRQ	469
		IRQ	470
		IRQ	471
		IRQ	472
		IRQ	473
		IRQ	474
		IRQ	475
		IRQ	476
		IRQ	477
		IRQ	478
		IRQ	479
		IRQ	480
		IRQ	481
		IRQ	482
		IRQ	483
		IRQ	484
		IRQ	485
		IRQ	486
		IRQ	487
		IRQ	488
		IRQ	489
		IRQ	490
		IRQ	491
		IRQ	492
		IRQ	493
		IRQ	494
		IRQ	495
		IRQ	496
		IRQ	497
		IRQ	498
		IRQ	499
		IRQ	500
		IRQ	501
		IRQ	502
		IRQ	503
		IRQ	504
		IRQ	505
		IRQ	506
		IRQ	507
		IRQ	508
		IRQ	509
		IRQ	510
		IRQ	511
		IRQ	54
		IRQ	55
		IRQ	56
		IRQ	57
		IRQ	58
		IRQ	59
		IRQ	60
		IRQ	61
		IRQ	62
		IRQ	63
		IRQ	64
		IRQ	65
		IRQ	66
		IRQ	67
		IRQ	68
		IRQ	69
		IRQ	70
		IRQ	71
		IRQ	72
		IRQ	73
		IRQ	74
		IRQ	75
		IRQ	76
		IRQ	77
		IRQ	78
		IRQ	79
		IRQ	80
		IRQ	81
		IRQ	82
		IRQ	83
		IRQ	84
		IRQ	85
		IRQ	86
		IRQ	87
		IRQ	88
		IRQ	89
		IRQ	90
		IRQ	91
		IRQ	92
		IRQ	93
		IRQ	94
		IRQ	95
		IRQ	96
		IRQ	97
		IRQ	98
		IRQ	99

[ Системные устройства / NVVHCI Enumerator ]

	Свойства устройства:
		Описание драйвера	NVVHCI Enumerator
		Дата драйвера	27.12.2016
		Версия драйвера	2.2.2151.6378
		Поставщик драйвера	NVIDIA
		INF-файл	oem11.inf
		INF Section	NVVHCI_Device.NTamd64
		Аппаратный ID	ROOT\NVVHCI

[ Системные устройства / PCI Express Root Complex ]

	Свойства устройства:
		Описание драйвера	PCI Express Root Complex
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	pci.inf
		INF Section	PCI_ROOT
		Аппаратный ID	ACPI\VEN_PNP&DEV_0A08

	Ресурсы устройств:
		Память	000A0000-000BFFFF
		Память	90000000-DFFFFFFF
		Память	FD000000-FE7FFFFF
		Порт	0000-0CF7
		Порт	0D00-FFFF

[ Системные устройства / Remote Desktop Device Redirector Bus ]

	Свойства устройства:
		Описание драйвера	Remote Desktop Device Redirector Bus
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	rdpbus.inf
		INF Section	RDPBUS
		Аппаратный ID	ROOT\RDPBUS

[ Системные устройства / UMBus перечислитель корневой шины ]

	Свойства устройства:
		Описание драйвера	UMBus перечислитель корневой шины
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	umbus.inf
		INF Section	UmBusRoot_Device.NT
		Аппаратный ID	root\umbus

[ Системные устройства / Агрегатор процессора ACPI ]

	Свойства устройства:
		Описание драйвера	Агрегатор процессора ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	acpipagr.inf
		INF Section	PagrInstall
		Аппаратный ID	ACPI\VEN_ACPI&DEV_000C

[ Системные устройства / Арифметический сопроцессор ]

	Свойства устройства:
		Описание драйвера	Арифметический сопроцессор
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_X
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C04

[ Системные устройства / Базовый видеодрайвер (Майкрософт) ]

	Свойства устройства:
		Описание драйвера	Базовый видеодрайвер (Майкрософт)
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	basicdisplay.inf
		INF Section	MSBDD_Fallback
		Аппаратный ID	ROOT\BasicDisplay

[ Системные устройства / Базовый драйвер отрисовки (Майкрософт) ]

	Свойства устройства:
		Описание драйвера	Базовый драйвер отрисовки (Майкрософт)
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.413
		Поставщик драйвера	Microsoft
		INF-файл	BasicRender.inf
		INF Section	BasicRender
		Аппаратный ID	ROOT\BasicRender

[ Системные устройства / Вентилятор ACPI ]

	Свойства устройства:
		Описание драйвера	Вентилятор ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0B

[ Системные устройства / Вентилятор ACPI ]

	Свойства устройства:
		Описание драйвера	Вентилятор ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0B

[ Системные устройства / Вентилятор ACPI ]

	Свойства устройства:
		Описание драйвера	Вентилятор ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0B

[ Системные устройства / Вентилятор ACPI ]

	Свойства устройства:
		Описание драйвера	Вентилятор ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0B

[ Системные устройства / Вентилятор ACPI ]

	Свойства устройства:
		Описание драйвера	Вентилятор ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0B

[ Системные устройства / Высокоточный таймер событий ]

	Свойства устройства:
		Описание драйвера	Высокоточный таймер событий
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_HPET
		Аппаратный ID	ACPI\VEN_PNP&DEV_0103

[ Системные устройства / Диспетчер томов ]

	Свойства устройства:
		Описание драйвера	Диспетчер томов
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volmgr.inf
		INF Section	Volmgr
		Аппаратный ID	ROOT\VOLMGR

[ Системные устройства / Драйвер Microsoft System Management BIOS ]

	Свойства устройства:
		Описание драйвера	Драйвер Microsoft System Management BIOS
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	mssmbios.inf
		INF Section	MSSMBIOS_DRV
		Аппаратный ID	ROOT\mssmbios

[ Системные устройства / Интерфейс управления для ACPI Microsoft Windows ]

	Свойства устройства:
		Описание драйвера	Интерфейс управления для ACPI Microsoft Windows
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	wmiacpi.inf
		INF Section	WMIMAP_Inst.NT
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C14

[ Системные устройства / Интерфейс управления для ACPI Microsoft Windows ]

	Свойства устройства:
		Описание драйвера	Интерфейс управления для ACPI Microsoft Windows
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	wmiacpi.inf
		INF Section	WMIMAP_Inst.NT
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C14

[ Системные устройства / Кнопка питания ACPI ]

	Свойства устройства:
		Описание драйвера	Кнопка питания ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0C

[ Системные устройства / Кнопка спящего режима ACPI ]

	Свойства устройства:
		Описание драйвера	Кнопка спящего режима ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C0E

[ Системные устройства / Контроллер High Definition Audio (Microsoft) ]

	Свойства устройства:
		Описание драйвера	Контроллер High Definition Audio (Microsoft)
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	hdaudbus.inf
		INF Section	HDAudio_Device.NT
		Аппаратный ID	PCI\VEN_8086&DEV_A2F0&SUBSYS_FA741462&REV_00
		Сведения о размещении	PCI-шина 0, устройство 31, функция 3
		PCI-устройство	Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech)

	Ресурсы устройств:
		IRQ	16
		Память	DF200000-DF20FFFF
		Память	DF220000-DF223FFF

[ Системные устройства / Контроллер High Definition Audio (Microsoft) ]

	Свойства устройства:
		Описание драйвера	Контроллер High Definition Audio (Microsoft)
		Дата драйвера	27.07.2017
		Версия драйвера	10.0.15063.502
		Поставщик драйвера	Microsoft
		INF-файл	hdaudbus.inf
		INF Section	HDAudio_Device.NT
		Аппаратный ID	PCI\VEN_10DE&DEV_10F1&SUBSYS_32831462&REV_A1
		Сведения о размещении	PCI-шина 1, устройство 0, функция 1
		PCI-устройство	nVIDIA GP106 - High Definition Audio Controller

	Ресурсы устройств:
		IRQ	17
		Память	DF080000-DF083FFF

[ Системные устройства / Перечислитель виртуальных дисков (Майкрософт) ]

	Свойства устройства:
		Описание драйвера	Перечислитель виртуальных дисков (Майкрософт)
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	vdrvroot.inf
		INF Section	VDRVROOT
		Аппаратный ID	ROOT\vdrvroot

[ Системные устройства / Перечислитель виртуальных сетевых адаптеров NDIS ]

	Свойства устройства:
		Описание драйвера	Перечислитель виртуальных сетевых адаптеров NDIS
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	ndisvirtualbus.inf
		INF Section	NdisVirtualBus_Device.NT
		Аппаратный ID	ROOT\NdisVirtualBus

[ Системные устройства / Перечислитель композитной шины ]

	Свойства устройства:
		Описание драйвера	Перечислитель композитной шины
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	compositebus.inf
		INF Section	CompositeBus_Device.NT
		Аппаратный ID	ROOT\CompositeBus

[ Системные устройства / Перечислитель программных устройств Plug and Play ]

	Свойства устройства:
		Описание драйвера	Перечислитель программных устройств Plug and Play
		Дата драйвера	17.03.2017
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	swenum.inf
		INF Section	SWENUM
		Аппаратный ID	ROOT\SWENUM

[ Системные устройства / Подключаемый модуль управления питанием Intel(R) ]

	Свойства устройства:
		Описание драйвера	Подключаемый модуль управления питанием Intel(R)
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	intelpep.inf
		INF Section	HSWULT
		Аппаратный ID	ACPI\VEN_INT&DEV_33A1

[ Системные устройства / Программируемый контроллер прерываний ]

	Свойства устройства:
		Описание драйвера	Программируемый контроллер прерываний
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_PIC
		Аппаратный ID	ACPI\VEN_PNP&DEV_0000

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_INT&DEV_340E

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Ресурсы системной платы ]

	Свойства устройства:
		Описание драйвера	Ресурсы системной платы
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MBRES
		Аппаратный ID	ACPI\VEN_PNP&DEV_0C02

[ Системные устройства / Системный таймер ]

	Свойства устройства:
		Описание драйвера	Системный таймер
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_X
		Аппаратный ID	ACPI\VEN_PNP&DEV_0100

[ Системные устройства / Термальная зона ACPI ]

	Свойства устройства:
		Описание драйвера	Термальная зона ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\ThermalZone

[ Системные устройства / Термальная зона ACPI ]

	Свойства устройства:
		Описание драйвера	Термальная зона ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\ThermalZone

[ Системные устройства / Устаревшее устройство ]

	Свойства устройства:
		Описание драйвера	Устаревшее устройство
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV_MEM
		Аппаратный ID	ACPI\VEN_INT&DEV_0800

[ Системные устройства / Фиксированная функциональная кнопка ACPI ]

	Свойства устройства:
		Описание драйвера	Фиксированная функциональная кнопка ACPI
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	machine.inf
		INF Section	NO_DRV
		Аппаратный ID	ACPI\FixedButton

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Теневое копирование томов запоминающих устройств / Универсальная теневая копия тома ]

	Свойства устройства:
		Описание драйвера	Универсальная теневая копия тома
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volsnap.inf
		INF Section	volume_snapshot_install.NTamd64
		Аппаратный ID	STORAGE\VolumeSnapshot

[ Тома хранилища / Том ]

	Свойства устройства:
		Описание драйвера	Том
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volume.inf
		INF Section	volume_install.NT
		Аппаратный ID	STORAGE\Volume

[ Тома хранилища / Том ]

	Свойства устройства:
		Описание драйвера	Том
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volume.inf
		INF Section	volume_install.NT
		Аппаратный ID	STORAGE\Volume

[ Тома хранилища / Том ]

	Свойства устройства:
		Описание драйвера	Том
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volume.inf
		INF Section	volume_install.NT
		Аппаратный ID	STORAGE\Volume

[ Тома хранилища / Том ]

	Свойства устройства:
		Описание драйвера	Том
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	volume.inf
		INF Section	volume_install.NT
		Аппаратный ID	STORAGE\Volume

[ Устройства HID (Human Interface Devices) / HID-совместимая гарнитура ]

	Свойства устройства:
		Описание драйвера	HID-совместимая гарнитура
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Raw_Inst.NT
		Аппаратный ID	HID\VID_17A0&PID_0310&REV_0100&MI_03&Col02

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / HID-совместимое устройство управления ]

	Свойства устройства:
		Описание драйвера	HID-совместимое устройство управления
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	hidserv.inf
		INF Section	HIDSystemConsumerDevice
		Аппаратный ID	HID\VID_17A0&PID_0310&REV_0100&MI_03&Col01

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / HID-совместимое устройство управления ]

	Свойства устройства:
		Описание драйвера	HID-совместимое устройство управления
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	hidserv.inf
		INF Section	HIDSystemConsumerDevice
		Аппаратный ID	HID\VID_09DA&PID_71E7&REV_9900&MI_02&Col03

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / HID-совместимое устройство управления ]

	Свойства устройства:
		Описание драйвера	HID-совместимое устройство управления
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	hidserv.inf
		INF Section	HIDSystemConsumerDevice
		Аппаратный ID	HID\VID_0603&PID_00F2&REV_0112&MI_01&Col02

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / HID-совместимое устройство, определенное поставщиком ]

	Свойства устройства:
		Описание драйвера	HID-совместимое устройство, определенное поставщиком
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Raw_Inst.NT
		Аппаратный ID	HID\VID_09DA&PID_71E7&REV_9900&MI_02&Col04

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / HID-совместимый системный контроллер ]

	Свойства устройства:
		Описание драйвера	HID-совместимый системный контроллер
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Raw_Inst.NT
		Аппаратный ID	HID\VID_09DA&PID_71E7&REV_9900&MI_02&Col02

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / HID-совместимый системный контроллер ]

	Свойства устройства:
		Описание драйвера	HID-совместимый системный контроллер
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Raw_Inst.NT
		Аппаратный ID	HID\VID_0603&PID_00F2&REV_0112&MI_01&Col01

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / USB-устройство ввода ]

	Свойства устройства:
		Описание драйвера	USB-устройство ввода
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Inst.NT
		Аппаратный ID	USB\VID_17A0&PID_0310&REV_0100&MI_03
		Сведения о размещении	0000.0014.0000.004.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / USB-устройство ввода ]

	Свойства устройства:
		Описание драйвера	USB-устройство ввода
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Inst.NT
		Аппаратный ID	USB\VID_09DA&PID_71E7&REV_9900&MI_00
		Сведения о размещении	0000.0014.0000.010.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / USB-устройство ввода ]

	Свойства устройства:
		Описание драйвера	USB-устройство ввода
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Inst.NT
		Аппаратный ID	USB\VID_09DA&PID_71E7&REV_9900&MI_01
		Сведения о размещении	0000.0014.0000.010.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / USB-устройство ввода ]

	Свойства устройства:
		Описание драйвера	USB-устройство ввода
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Inst.NT
		Аппаратный ID	USB\VID_09DA&PID_71E7&REV_9900&MI_02
		Сведения о размещении	0000.0014.0000.010.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / USB-устройство ввода ]

	Свойства устройства:
		Описание драйвера	USB-устройство ввода
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Inst.NT
		Аппаратный ID	USB\VID_0603&PID_00F2&REV_0112&MI_00
		Сведения о размещении	0000.0014.0000.003.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

[ Устройства HID (Human Interface Devices) / USB-устройство ввода ]

	Свойства устройства:
		Описание драйвера	USB-устройство ввода
		Дата драйвера	21.06.2006
		Версия драйвера	10.0.15063.0
		Поставщик драйвера	Microsoft
		INF-файл	input.inf
		INF Section	HID_Inst.NT
		Аппаратный ID	USB\VID_0603&PID_00F2&REV_0112&MI_01
		Сведения о размещении	0000.0014.0000.003.000.000.000.000.000

	Производитель устройства:
		Обновление драйверов	http://www.aida64.com/driver-updates

Физические устройства


Устройства PCI:
	Шина 0, Устройство 31, Функция 0	Intel B250 Chipset - LPC/eSPI Controller
	Шина 0, Устройство 0, Функция 0	Intel Kaby Lake-S - Host Bridge/DRAM Controller
	Шина 0, Устройство 1, Функция 0	Intel Kaby Lake-S - PCI Express x16 Controller
	Шина 0, Устройство 8, Функция 0	Intel Skylake - Gaussian Mixture Model
	Шина 0, Устройство 31, Функция 3	Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech)
	Шина 0, Устройство 22, Функция 0	Intel Union Point PCH - Host Embedded Controller Interface 1 (HECI1)
	Шина 0, Устройство 28, Функция 0	Intel Union Point PCH - PCI Express Root Port 7
	Шина 0, Устройство 31, Функция 2	Intel Union Point PCH - Power Management Controller (PMC)
	Шина 0, Устройство 23, Функция 0	Intel Union Point PCH - SATA AHCI Controller
	Шина 0, Устройство 31, Функция 4	Intel Union Point PCH - SMBus Controller
	Шина 0, Устройство 20, Функция 2	Intel Union Point PCH - Thermal Management Controller
	Шина 0, Устройство 20, Функция 0	Intel Union Point PCH - USB 3.1 xHCI Host Controller
	Шина 1, Устройство 0, Функция 0	MSI GTX 1060 Armor 6G OC (MS-V328) Video Adapter
	Шина 1, Устройство 0, Функция 1	nVIDIA GP106 - High Definition Audio Controller
	Шина 2, Устройство 0, Функция 0	Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter

Устройства PnP:
	PNP0303	101/102-Key or MS Natural Keyboard
	PNP0501	16550A-compatible UART Serial Port
	PNP0C08	ACPI Driver/BIOS
	PNP0A08	ACPI Three-wire Device Bus
	PNP0C0B	Fan
	PNP0C0B	Fan
	PNP0C0B	Fan
	PNP0C0B	Fan
	PNP0C0B	Fan
	PNP0103	High Precision Event Timer
	INT0800	Intel Flash EEPROM
	INT33A1	Intel Power Engine Plug-in
	INT340E	Intel System Device
	INT3F0D	Intel Watchdog Timer
	GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_158_-_INTEL(R)_CORE(TM)_I5-7400_CPU_@_3.00GHZ	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
	GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_158_-_INTEL(R)_CORE(TM)_I5-7400_CPU_@_3.00GHZ	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
	GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_158_-_INTEL(R)_CORE(TM)_I5-7400_CPU_@_3.00GHZ	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
	GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_158_-_INTEL(R)_CORE(TM)_I5-7400_CPU_@_3.00GHZ	Intel(R) Core(TM) i5-7400 CPU @ 3.00GHz
	PNP0F03	Microsoft PS/2 Port Mouse
	PNP0C14	Microsoft Windows Management Interface for ACPI
	PNP0C14	Microsoft Windows Management Interface for ACPI
	PNP0C04	Numeric Data Processor
	PNP0C0C	Power Button
	PNP0000	Programmable Interrupt Controller
	PNP0B00	Real-Time Clock
	PNP0C0E	Sleep Button
	PNP0100	System Timer
	PNP0C02	Thermal Monitoring ACPI Device
	PNP0C02	Thermal Monitoring ACPI Device
	PNP0C02	Thermal Monitoring ACPI Device
	PNP0C02	Thermal Monitoring ACPI Device
	PNP0C02	Thermal Monitoring ACPI Device
	PNP0C02	Thermal Monitoring ACPI Device
	PNP0C02	Thermal Monitoring ACPI Device
	ACPI000C	Агрегатор процессора ACPI
	THERMALZONE	Термальная зона ACPI
	THERMALZONE	Термальная зона ACPI
	FIXEDBUTTON	Фиксированная функциональная кнопка ACPI

Устройства USB:
	17A0 0310	Samson Meteor Mic
	0603 00F2	USB-устройство ввода
	0603 00F2	USB-устройство ввода
	09DA 71E7	USB-устройство ввода
	09DA 71E7	USB-устройство ввода
	09DA 71E7	USB-устройство ввода
	17A0 0310	USB-устройство ввода
	0603 00F2	Составное USB устройство
	09DA 71E7	Составное USB устройство
	17A0 0310	Составное USB устройство
	1A40 0101	Универсальный USB-концентратор

Порты:
	COM1	Последовательный порт (COM1)

Устройства PCI


[ Intel B250 Chipset - LPC/eSPI Controller ]

	Свойства устройства:
		Описание устройства	Intel B250 Chipset - LPC/eSPI Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 31 / 0
		ID устройства	8086-A2C8
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0601 (PCI/ISA Bridge)
		Версия	00
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Kaby Lake-S - Host Bridge/DRAM Controller ]

	Свойства устройства:
		Описание устройства	Intel Kaby Lake-S - Host Bridge/DRAM Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 0 / 0
		ID устройства	8086-591F
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0600 (Host/PCI Bridge)
		Версия	05
		Fast Back-to-Back Transactions	Поддерживается, Запрещено

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Kaby Lake-S - PCI Express x16 Controller ]

	Свойства устройства:
		Описание устройства	Intel Kaby Lake-S - PCI Express x16 Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 1 / 0
		ID устройства	8086-1901
		Субсистемный идентификатор	0000-0000
		Класс устройства	0604 (PCI/PCI Bridge)
		Версия	05
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Skylake - Gaussian Mixture Model ]

	Свойства устройства:
		Описание устройства	Intel Skylake - Gaussian Mixture Model
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 8 / 0
		ID устройства	8086-1911
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0880 (Base System Peripheral)
		Версия	00
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech) ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - High Definition Audio Controller (Audio, Voice, Speech)
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 31 / 3
		ID устройства	8086-A2F0
		Субсистемный идентификатор	1462-FA74
		Класс устройства	0403 (High Definition Audio)
		Версия	00
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - Host Embedded Controller Interface 1 (HECI1) ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - Host Embedded Controller Interface 1 (HECI1)
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 22 / 0
		ID устройства	8086-A2BA
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0780 (Communications Controller)
		Версия	00
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - PCI Express Root Port 7 ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - PCI Express Root Port 7
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 28 / 0
		ID устройства	8086-A296
		Субсистемный идентификатор	0000-0000
		Класс устройства	0604 (PCI/PCI Bridge)
		Версия	F0
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - Power Management Controller (PMC) ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - Power Management Controller (PMC)
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 31 / 2
		ID устройства	8086-A2A1
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0580 (Memory Controller)
		Версия	00
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - SATA AHCI Controller ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - SATA AHCI Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 23 / 0
		ID устройства	8086-A282
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0106 (SATA Controller)
		Версия	00
		Fast Back-to-Back Transactions	Поддерживается, Запрещено

	Функции устройства:
		66-МГц операция	Поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - SMBus Controller ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - SMBus Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 31 / 4
		ID устройства	8086-A2A3
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0C05 (SMBus Controller)
		Версия	00
		Fast Back-to-Back Transactions	Поддерживается, Запрещено

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Запрещено

[ Intel Union Point PCH - Thermal Management Controller ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - Thermal Management Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 20 / 2
		ID устройства	8086-A2B1
		Субсистемный идентификатор	1462-7A74
		Класс устройства	1180 (Data Acquisition / Signal Processing Controller)
		Версия	00
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Intel Union Point PCH - USB 3.1 xHCI Host Controller ]

	Свойства устройства:
		Описание устройства	Intel Union Point PCH - USB 3.1 xHCI Host Controller
		Тип шины	PCI
		Шина / Устройство / Функция	0 / 20 / 0
		ID устройства	8086-A2AF
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0C03 (USB3 xHCI Controller)
		Версия	00
		Fast Back-to-Back Transactions	Поддерживается, Запрещено

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ MSI GTX 1060 Armor 6G OC (MS-V328) Video Adapter ]

	Свойства устройства:
		Описание устройства	MSI GTX 1060 Armor 6G OC (MS-V328) Video Adapter
		Тип шины	PCI Express 3.0 x16
		Шина / Устройство / Функция	1 / 0 / 0
		ID устройства	10DE-1C03
		Субсистемный идентификатор	1462-3283
		Класс устройства	0300 (VGA Display Controller)
		Версия	A1
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

	Производитель видеоадаптера:
		Фирма	Micro-Star Int'l Co.,Ltd.
		Информация о продукте	https://www.msi.com/Graphics-cards
		Загрузка драйверов	https://www.msi.com/support#support_download
		Обновление драйверов	http://www.aida64.com/driver-updates

[ nVIDIA GP106 - High Definition Audio Controller ]

	Свойства устройства:
		Описание устройства	nVIDIA GP106 - High Definition Audio Controller
		Тип шины	PCI Express 3.0 x16
		Шина / Устройство / Функция	1 / 0 / 1
		ID устройства	10DE-10F1
		Субсистемный идентификатор	1462-3283
		Класс устройства	0403 (High Definition Audio)
		Версия	A1
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

[ Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter ]

	Свойства устройства:
		Описание устройства	Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter
		Тип шины	PCI Express 2.0 x1
		Шина / Устройство / Функция	2 / 0 / 0
		ID устройства	10EC-8168
		Субсистемный идентификатор	1462-7A74
		Класс устройства	0200 (Ethernet Controller)
		Версия	15
		Fast Back-to-Back Transactions	Не поддерживается

	Функции устройства:
		66-МГц операция	Не поддерживается
		Bus Mastering	Разрешено

	Производитель сетевого адаптера:
		Фирма	Realtek Semiconductor Corp.
		Информация о продукте	http://www.realtek.com.tw/products/productsView.aspx?Langid=1&PNid=7&PFid=10&Level=3&Conn=2
		Загрузка драйверов	http://www.realtek.com.tw/downloads
		Обновление драйверов	http://www.aida64.com/driver-updates

Устройства USB


[ Составное USB устройство (USB Keyboard) ]

	Свойства устройства:
		Описание устройства	Составное USB устройство
		ID устройства	0603-00F2
		Класс устройства	03 / 01 (Human Interface Device)
		Протокол устройства	01
		Версия	0112h
		Производитель	NOVATEK
		Продукт	USB Keyboard
		Поддерживаемая версия USB	1.10
		Текущая скорость	Low (USB 1.1)

[ Составное USB устройство (Samson Meteor Mic) ]

	Свойства устройства:
		Описание устройства	Составное USB устройство
		ID устройства	17A0-0310
		Класс устройства	01 / 01 (Audio Control)
		Протокол устройства	00
		Версия	0100h
		Производитель	Samson Technologies
		Продукт	Samson Meteor Mic
		Поддерживаемая версия USB	1.10
		Текущая скорость	Full (USB 1.1)

[ Универсальный USB-концентратор ]

	Свойства устройства:
		Описание устройства	Универсальный USB-концентратор
		ID устройства	1A40-0101
		Класс устройства	09 / 00 (Hi-Speed Hub with single TT)
		Протокол устройства	01
		Версия	0111h
		Поддерживаемая версия USB	2.00
		Текущая скорость	High (USB 2.0)

[ Составное USB устройство (USB Device) ]

	Свойства устройства:
		Описание устройства	Составное USB устройство
		ID устройства	09DA-71E7
		Класс устройства	03 / 01 (Human Interface Device)
		Протокол устройства	01
		Версия	9900h
		Производитель	COMPANY
		Продукт	USB-устройство
		Поддерживаемая версия USB	1.10
		Текущая скорость	Full (USB 1.1)

[ Unknown Device ]

	Свойства устройства:
		Описание устройства	Unknown Device
		ID устройства	0000-0000
		Класс устройства	00 / 00
		Протокол устройства	00
		Версия	0000h
		Поддерживаемая версия USB	0.00
		Текущая скорость	Low (USB 1.1)

[ Unknown Device ]

	Свойства устройства:
		Описание устройства	Unknown Device
		ID устройства	0000-0000
		Класс устройства	00 / 00
		Протокол устройства	00
		Версия	0000h
		Поддерживаемая версия USB	0.00
		Текущая скорость	Low (USB 1.1)

[ Unknown Device ]

	Свойства устройства:
		Описание устройства	Unknown Device
		ID устройства	0000-0000
		Класс устройства	00 / 00
		Протокол устройства	00
		Версия	0000h
		Поддерживаемая версия USB	0.00
		Текущая скорость	Low (USB 1.1)

[ Unknown Device ]

	Свойства устройства:
		Описание устройства	Unknown Device
		ID устройства	0000-0000
		Класс устройства	00 / 00
		Протокол устройства	00
		Версия	0000h
		Поддерживаемая версия USB	0.00
		Текущая скорость	Low (USB 1.1)

Ввод


[ Клавиатура HID ]

	Свойства клавиатуры:
		Название клавиатуры	Клавиатура HID
		Тип клавиатуры	IBM enhanced (101- or 102-key) keyboard
		Раскладка клавиатуры	US
		Кодовая страница ANSI	1251 - Кириллица (Windows)
		Кодовая страница OEM	866 - Кириллица (DOS)
		Задержка повтора	1
		Скорость повтора	31

[ HID-совместимая мышь ]

	Свойства мыши:
		Название мыши	HID-совместимая мышь
		Число кнопок мыши	8
		Хватка мыши	Справа
		Скорость курсора	1
		Время двойного щелчка	500 msec
		Порог X / Y	6 / 10
		Прокрутка строк колёсиком	3

	Функции мыши:
		Отслеживание активного окна	Запрещено
		'Залипание' щелчков	Запрещено
		Исчезновение курсора при наборе на клавиатуре	Разрешено
		Колёсико мыши	Есть
		Перемещение курсора на кнопку по умолчанию	Запрещено
		След от мыши	Запрещено
		Sonar	Запрещено

Автозагрузка


Описание приложения	Запуск из	Команда приложения
AvastUI.exe	Registry\Common\Run	D:\Program Files\Avast\AvLaunch.exe /gui
Discord	Registry\User\Run	C:\Users\brosc\AppData\Local\Discord\app-0.0.298\Discord.exe
Lightshot	Registry\Common\Run	C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe
SecurityHealth	Registry\Common\Run	%ProgramFiles%\Windows Defender\MSASCuiL.exe
ShadowPlay	Registry\Common\Run	C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\nvspcap64.dll,ShadowPlayOnSystemStart
WindowsDefender	Registry\Common\Run	%ProgramFiles%\Windows Defender\MSASCuiL.exe

Запланированные


[ CreateExplorerShellUnelevatedTask ]

	Свойства задачи:
		Имя задачи	CreateExplorerShellUnelevatedTask
		Статус	Разрешено
		Имя приложения	C:\WINDOWS\explorer.exe
		Параметры приложения	/NOUACCHECK
		Рабочая папка
		Комментарий
		Имя учётной записи	brosc
		Создатель	ExplorerShellUnelevated
		Последний запуск	07.08.2017 4:35:47
		Следующий запуск	Неизвестно

[ GoogleUpdateTaskMachineCore ]

	Свойства задачи:
		Имя задачи	GoogleUpdateTaskMachineCore
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
		Параметры приложения	/c
		Рабочая папка
		Комментарий	Следите за тем, чтобы ваше ПО Google всегда обновлялось. Если отключить или снять эту задачу, ваше ПО Google не будет обновляться. Это может поставить безопасность под угрозу, а также привести к тому, что некоторые функции перестанут работать. Эта задача удаляется автоматически, если нет ПО Google, которое ее использует.
		Имя учётной записи	СИСТЕМА
		Создатель
		Последний запуск	09.08.2017 17:25:22
		Следующий запуск	10.08.2017 12:59:47

	Триггеры задач:
		At log on	At log on of any user
		Daily	At 12:59:47 every day

[ GoogleUpdateTaskMachineUA ]

	Свойства задачи:
		Имя задачи	GoogleUpdateTaskMachineUA
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
		Параметры приложения	/ua /installsource scheduler
		Рабочая папка
		Комментарий	Следите за тем, чтобы ваше ПО Google всегда обновлялось. Если отключить или снять эту задачу, ваше ПО Google не будет обновляться. Это может поставить безопасность под угрозу, а также привести к тому, что некоторые функции перестанут работать. Эта задача удаляется автоматически, если нет ПО Google, которое ее использует.
		Имя учётной записи	СИСТЕМА
		Создатель
		Последний запуск	09.08.2017 17:25:20
		Следующий запуск	09.08.2017 17:59:47

	Триггеры задач:
		Daily	At 12:59:47 every day - After triggered, repeat every 1 hour for a duration of 1 day

[ MSIAfterburner ]

	Свойства задачи:
		Имя задачи	MSIAfterburner
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe
		Параметры приложения	/s
		Рабочая папка
		Комментарий
		Имя учётной записи	brosc
		Создатель
		Последний запуск	09.08.2017 17:25:22
		Следующий запуск	Неизвестно

	Триггеры задач:
		At log on	At log on of any user

[ NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
		Параметры приложения	-d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log
		Рабочая папка	C:\Program Files\NVIDIA Corporation\NvContainer
		Комментарий	Checks for NVIDIA driver updates before GeForce Experience is first launched
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 12:25:28
		Следующий запуск	10.08.2017 12:25:28

	Триггеры задач:
		Daily	At 12:25:28 every day

[ NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	"C:\Program Files (x86)\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe"
		Параметры приложения
		Рабочая папка	C:\Program Files (x86)\NVIDIA Corporation\NVIDIA GeForce Experience
		Комментарий
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	30.11.1999
		Следующий запуск	Неизвестно

[ NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe
		Параметры приложения	--launcher=TaskScheduler
		Рабочая папка	C:\Program Files (x86)\NVIDIA Corporation\NvNode
		Комментарий	NVIDIA NvNode Launcher
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 17:27:22
		Следующий запуск	Неизвестно

	Триггеры задач:
		At log on	At log on of any user - After triggered, repeat every 1 day indefinitely

[ NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
		Параметры приложения
		Рабочая папка	C:\Program Files\NVIDIA Corporation\Update Core
		Комментарий	NVIDIA Profile Updater
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 12:25:27
		Следующий запуск	10.08.2017 12:25:27

	Триггеры задач:
		Daily	At 12:25:27 every day

[ NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
		Параметры приложения
		Рабочая папка	C:\Program Files\NVIDIA Corporation\Update Core
		Комментарий	NVIDIA Profile Updater
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 17:27:22
		Следующий запуск	Неизвестно

	Триггеры задач:
		At log on	At log on of any user

[ NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmMon.exe
		Параметры приложения
		Рабочая папка	C:\Program Files (x86)\NVIDIA Corporation\Update Core
		Комментарий	NVIDIA telemetry monitor
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 17:27:22
		Следующий запуск	Неизвестно

	Триггеры задач:
		At log on	At log on of any user - After triggered, repeat every 1 hour indefinitely

[ NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe
		Параметры приложения
		Рабочая папка	C:\Program Files (x86)\NVIDIA Corporation\Update Core
		Комментарий	NVIDIA crash and telemetry reporter
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 12:25:27
		Следующий запуск	10.08.2017 12:25:27

	Триггеры задач:
		Daily	At 12:25:27 every day

[ NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} ]

	Свойства задачи:
		Имя задачи	NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvTmRep.exe
		Параметры приложения	--logon
		Рабочая папка	C:\Program Files (x86)\NVIDIA Corporation\Update Core
		Комментарий	NVIDIA Profile Updater
		Имя учётной записи
		Создатель	NVIDIA Corporation
		Последний запуск	09.08.2017 17:27:22
		Следующий запуск	Неизвестно

	Триггеры задач:
		At log on	At log on of any user

[ SafeZone scheduled Autoupdate 1502044424 ]

	Свойства задачи:
		Имя задачи	SafeZone scheduled Autoupdate 1502044424
		Статус	Разрешено
		Имя приложения	D:\Program Files\SZBrowser\launcher.exe
		Параметры приложения	--scheduledautoupdate $(Arg0)
		Рабочая папка
		Комментарий	Проверяет обновления для Avast SafeZone.
		Имя учётной записи	СИСТЕМА
		Создатель	WORKGROUP\DESKTOP-PR7DC6K$
		Последний запуск	09.08.2017 17:12:35
		Следующий запуск	10.08.2017 13:06:14

	Триггеры задач:
		Daily	At 13:06:14 every day
		At startup	At system startup

[ SlimDrivers Startup ]

	Свойства задачи:
		Имя задачи	SlimDrivers Startup
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe
		Параметры приложения	-boot
		Рабочая папка	C:\Program Files (x86)\SlimDrivers
		Комментарий	Runs SlimDrivers at system startup.
		Имя учётной записи	brosc
		Создатель	DESKTOP-PR7DC6K\brosc
		Последний запуск	09.08.2017 17:25:22
		Следующий запуск	Неизвестно

	Триггеры задач:
		At log on	At log on of any user

[ update-S-1-5-21-4194021044-959331188-662113642-1001 ]

	Свойства задачи:
		Имя задачи	update-S-1-5-21-4194021044-959331188-662113642-1001
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
		Параметры приложения	-runmode=checkupdate
		Рабочая папка
		Комментарий	This will keep your software up to date.
		Имя учётной записи	brosc
		Создатель	DESKTOP-PR7DC6K\brosc
		Последний запуск	09.08.2017 17:28:00
		Следующий запуск	09.08.2017 21:28:00

	Триггеры задач:
		Daily	At 13:28:00 every day - After triggered, repeat every 4 hours for a duration of 1 day

[ update-sys ]

	Свойства задачи:
		Имя задачи	update-sys
		Статус	Разрешено
		Имя приложения	C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
		Параметры приложения	-runmode=checkupdate
		Рабочая папка
		Комментарий	This will keep your software up to date.
		Имя учётной записи	СИСТЕМА
		Создатель	DESKTOP-PR7DC6K\brosc
		Последний запуск	09.08.2017 14:25:00
		Следующий запуск	09.08.2017 18:25:00

	Триггеры задач:
		Daily	At 14:25:00 every day - After triggered, repeat every 4 hours for a duration of 1 day

Установленные программы


Программа	Версия	Размер	GUID	Издатель	Дата
Ansel [русский (Россия)]	384.94	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Ansel	NVIDIA Corporation	2017-08-07
Avast Free Antivirus	17.5.2303	Неизвестно	Avast Antivirus	AVAST Software
Cloud Mail.Ru	15.06.0853	Неизвестно	{776AF05B-784A-416F-B14C-31A1FBAF8B19}_is1	Mail.Ru Group	2017-08-07
Discord	0.0.298	Неизвестно	Discord	Discord Inc.	2017-08-09
Google Chrome	60.0.3112.90	Неизвестно	Google Chrome	Google Inc.	2017-08-07
Google Update Helper	1.3.33.5	Неизвестно	{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}	Google Inc.	2017-08-07
Java 8 Update 144 (64-bit)	8.0.1440.1	Неизвестно	{26A24AE4-039D-4CA4-87B4-2F64180144F0}	Oracle Corporation	2017-08-07
Lightshot-5.4.0.10	5.4.0.10	Неизвестно	{30A5B3C9-2084-4063-A32A-628A98DE512B}_is1	Skillbrains	2017-08-07
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	9.0.30729.6161	Неизвестно	{9BE518E6-ECC6-35A9-88E4-87755C07200F}	Microsoft Corporation	2017-08-08
Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219	10.0.40219	Неизвестно	{1D8E6291-B0D5-35EC-8441-6616F567A0F7}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030	11.0.61030.0	Неизвестно	{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}	Microsoft Corporation
Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030	11.0.61030.0	Неизвестно	{33d1fd90-4274-48a1-9bc1-97e33d9c2d6f}	Microsoft Corporation
Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.61030	11.0.61030	Неизвестно	{37B8F9C7-03FB-3253-8781-2517C99D7C00}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.61030	11.0.61030	Неизвестно	{CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.61030	11.0.61030	Неизвестно	{B175520C-86A2-35A7-8619-86DC379688B9}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.61030	11.0.61030	Неизвестно	{BD95A8CD-1D9F-35AD-981A-3E7925026EBB}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005	12.0.21005.1	Неизвестно	{7f51bdb9-ee21-49ee-94d6-90afc321780e}	Microsoft Corporation
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005	12.0.21005.1	Неизвестно	{ce085a78-074e-4823-8dc1-8a721b94b76d}	Microsoft Corporation
Microsoft Visual C++ 2013 x64 Additional Runtime - 12.0.21005	12.0.21005	Неизвестно	{929FBD26-9020-399B-9A7A-751D61F0B942}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2013 x64 Minimum Runtime - 12.0.21005	12.0.21005	Неизвестно	{A749D8E6-B613-3BE3-8F5F-045C84EBA29B}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2013 x86 Additional Runtime - 12.0.21005	12.0.21005	Неизвестно	{F8CFEB22-A2E7-3971-9EDA-4B11EDEFC185}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2013 x86 Minimum Runtime - 12.0.21005	12.0.21005	Неизвестно	{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2017 Redistributable (x64) - 14.10.25017	14.10.25017.0	Неизвестно	{d3ea57b6-46d6-4824-a20f-6b8213001903}	Корпорация Майкрософт
Microsoft Visual C++ 2017 x64 Additional Runtime - 14.10.25017	14.10.25017	Неизвестно	{E512788E-C50B-3858-A4B9-73AD5F3F9E93}	Microsoft Corporation	2017-08-07
Microsoft Visual C++ 2017 x64 Minimum Runtime - 14.10.25017	14.10.25017	Неизвестно	{8D4F7A6D-6B81-3DC8-9C21-6008E4866727}	Microsoft Corporation	2017-08-07
NVIDIA Backend [русский (Россия)]	27.1.0.0	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvBackend	NVIDIA Corporation	2017-08-07
NVIDIA Container [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer	NVIDIA Corporation	2017-08-07
NVIDIA Display Container [русский (Россия)]	1.2	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplayContainer	NVIDIA Corporation	2017-08-07
NVIDIA Display Container LS [русский (Россия)]	1.2	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplayContainerLS	NVIDIA Corporation	2017-08-07
NVIDIA Display Session Container [русский (Россия)]	1.2	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplaySessionContainer	NVIDIA Corporation	2017-08-07
NVIDIA Display Watchdog Plugin [русский (Россия)]	1.2	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplayPluginWatchdog	NVIDIA Corporation	2017-08-07
NVIDIA GeForce Experience 3.8.0.89 [русский (Россия)]	3.8.0.89	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience	NVIDIA Corporation	2017-08-07
NVIDIA Install Application [русский (Россия)]	2.1002.251.2154	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer	NVIDIA Corporation	2017-08-07
NVIDIA LocalSystem Container [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer.LocalSystem	NVIDIA Corporation	2017-08-07
NVIDIA Message Bus for NvContainer [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer.MessageBus	NVIDIA Corporation	2017-08-07
NVIDIA NetworkService Container [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer.NetworkService	NVIDIA Corporation	2017-08-07
NVIDIA NodeJS [русский (Россия)]	3.8.0.89	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvNodejs	NVIDIA Corporation	2017-08-07
NVIDIA Optimus Update 27.1.0.0 [русский (Россия)]	27.1.0.0	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Optimus	NVIDIA Corporation	2017-08-07
NVIDIA Session Container [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer.Session	NVIDIA Corporation	2017-08-07
NVIDIA ShadowPlay 3.8.0.89 [русский (Россия)]	3.8.0.89	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_ShadowPlay	NVIDIA Corporation	2017-08-07
Nvidia Share [русский (Россия)]	3.8.0.89	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_OSC	NVIDIA Corporation	2017-08-07
NVIDIA SHIELD Streaming [русский (Россия)]	7.1.0400	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_GFExperience.NvStreamSrv	NVIDIA Corporation	2017-08-07
NVIDIA SHIELD Wireless Controller Driver [русский (Россия)]	3.8.0.89	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_ShieldWirelessController	NVIDIA Corporation	2017-08-07
NVIDIA Stereoscopic 3D Driver	7.17.13.7500	Неизвестно	NVIDIAStereo	NVIDIA Corporation
NVIDIA Telemetry Client [русский (Россия)]	2.6.4.0	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvTelemetry	NVIDIA Corporation	2017-08-07
NVIDIA Telemetry Container [русский (Россия)]	2.6.4.0	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvTelemetryContainer	NVIDIA Corporation	2017-08-07
NVIDIA Update Core [русский (Россия)]	27.1.0.0	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Update.Core	NVIDIA Corporation	2017-08-07
NVIDIA User Container [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvContainer.User	NVIDIA Corporation	2017-08-07
NVIDIA Virtual Audio 3.90.1 [русский (Россия)]	3.90.1	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_VirtualAudio.Driver	NVIDIA Corporation	2017-08-07
NVIDIA Watchdog Plugin for NvContainer [русский (Россия)]	1.6	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvPlugin.Watchdog	NVIDIA Corporation	2017-08-07
NVIDIA Аудиодрайвер HD 1.3.34.27 [русский (Россия)]	1.3.34.27	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_HDAudio.Driver	NVIDIA Corporation	2017-08-07
NVIDIA Графический драйвер 384.94 [русский (Россия)]	384.94	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver	NVIDIA Corporation	2017-08-07
NVIDIA Драйвер 3D Vision 384.94 [русский (Россия)]	384.94	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision	NVIDIA Corporation	2017-08-07
NVIDIA Драйвер контроллера 3D Vision 369.04 [русский (Россия)]	369.04	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB	NVIDIA Corporation	2017-08-07
NVIDIA Системное программное обеспечение PhysX 9.17.0524 [русский (Россия)]	9.17.0524	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX	NVIDIA Corporation	2017-08-07
NvvHci [русский (Россия)]	2.02.0.5	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvvHci	NVIDIA Corporation	2017-08-07
Rockstar Games Social Club	1.2.1.9	Неизвестно	Rockstar Games Social Club	Rockstar Games
SafeZone Stable 3.55.2393.609	3.55.2393.609	Неизвестно	SafeZone 3.55.2393.609	Avast Software
SlimDrivers	2.3.1	Неизвестно	{746AB259-6474-4111-8966-1C62F9A6E063}	SlimWare Utilities, Inc.	2017-08-07
StartIsBack++	2.0.9	Неизвестно	StartIsBack	startisback.com
Unchecky v1.0.2	1.0.2	Неизвестно	Unchecky	RaMMicHaeL
Vulkan Run Time Libraries 1.0.42.1	1.0.42.1	Неизвестно	VulkanRT1.0.42.1	LunarG, Inc.
Win Updates Disabler v1.4	1.4.0.0	Неизвестно	Win Updates Disabler_is1	site2unblock.com	2017-08-07
WinRAR 5.40 (64-разрядная)	5.40.0	Неизвестно	WinRAR archiver	win.rar GmbH
Обновления NVIDIA 27.1.0.0 [русский (Россия)]	27.1.0.0	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update	NVIDIA Corporation	2017-08-07
Панель управления NVIDIA 384.94 [русский (Россия)]	384.94	Неизвестно	{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel	NVIDIA Corporation	2017-08-07

Безопасность Windows


Свойства операционной системы:
	Название ОС	Microsoft Windows 10 Pro
	Пакет обновления ОС	-
	Winlogon Shell	explorer.exe
	Управление учётными записями пользователей (UAC)	Разрешено (тихий режим)
	UAC Remote Restrictions	Разрешено
	Восстановление системы	Разрешено
	Windows Update Agent	10.0.15063.0 (WinBuild.160101.0800)

Запрет исполнения данных (DEP, NX, EDB):
	Поддерживается ОС	Да
	Поддерживается ЦП	Да
	Активно (защита приложений)	Да
	Активно (защита драйверов)	Да

Обновления Windows


Описание обновления	Тип обновления	Дата
(Automatic Update)	Неизвестно
Intel - Other hardware - Intel(R) 200 Series Chipset Family SMBUS - A2A3	Обновление	07.08.2017
Intel - Other hardware - Intel(R) Xeon(R) E3 - 1200/1500 v5/6th Gen Intel(R) Core(TM) Gaussian Mixture Model - 1911	Обновление	07.08.2017
INTEL - System - 1/1/1970 12:00:00 AM - 10.1.1.42	Обновление	07.08.2017
NVIDIA - Display - 5/1/2017 12:00:00 AM - 22.21.13.8205	Обновление	07.08.2017
Накопительное обновление для Windows 10 Version 1703 для систем на базе процессоров x64, 2017 08 (KB4034674)	Обновление	08.08.2017
Обновление для Windows 10 Version 1703 для систем на базе процессоров x64 (KB4022405), 06.2017	Обновление	07.08.2017
Обновление определения для Windows Defender – КБ2267602 (Определение 1.249.745.0)	Обновление	07.08.2017
Обновление системы безопасности для Adobe Flash Player for Windows 10 Version 1703 для систем на базе процессоров x64 (KB4025376), 07.2017	Обновление	07.08.2017
Обновление системы безопасности для Adobe Flash Player for Windows 10 Version 1703 для систем на базе процессоров x64 (KB4034662), 08.2017	Обновление	08.08.2017
Средство удаления вредоносных программ Windows для Windows 8, 8.1, 10 и Windows Server 2012, 2012 R2, 2016 x64 Edition — июль 2017 г. (KB890830)	Обновление	07.08.2017

Антивирус


Описание программы	Версия программы	Дата БД вирусов	Известных вирусов
Windows Defender	4.11.15063.332(WinBuild.160101.0800)	07.08.2017	?
Avast	17.5.2303	08.08.2017	5995317

Антишпионское ПО


		Описание программы	Версия программы
		Microsoft Windows Defender	4.11.15063.332(WinBuild.160101.0800)

Системные папки


		Системная папка	Путь
		Administrative Tools	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
		AppData	C:\Users\brosc\AppData\Roaming
		Cache	C:\Users\brosc\AppData\Local\Microsoft\Windows\INetCache
		CD Burning	C:\Users\brosc\AppData\Local\Microsoft\Windows\Burn\Burn
		Common Administrative Tools	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools
		Common AppData	C:\ProgramData
		Common Desktop	C:\Users\Public\Desktop
		Common Documents	C:\Users\Public\Documents
		Common Favorites	C:\Users\brosc\Favorites
		Common Files (x86)	C:\Program Files (x86)\Common Files
		Common Files	C:\Program Files (x86)\Common Files
		Common Music	C:\Users\Public\Music
		Common Pictures	C:\Users\Public\Pictures
		Common Programs	C:\ProgramData\Microsoft\Windows\Start Menu\Programs
		Common Start Menu	C:\ProgramData\Microsoft\Windows\Start Menu
		Common Startup	C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
		Common Templates	C:\ProgramData\Microsoft\Windows\Templates
		Common Video	C:\Users\Public\Videos
		Cookies	C:\Users\brosc\AppData\Local\Microsoft\Windows\INetCookies
		Desktop	C:\Users\brosc\Desktop
		Device	C:\WINDOWS\inf
		Favorites	C:\Users\brosc\Favorites
		Fonts	C:\WINDOWS\Fonts
		History	C:\Users\brosc\AppData\Local\Microsoft\Windows\History
		Local AppData	C:\Users\brosc\AppData\Local
		My Documents	C:\Users\brosc\Documents
		My Music	C:\Users\brosc\Music
		My Pictures	C:\Users\brosc\Pictures
		My Video	C:\Users\brosc\Videos
		NetHood	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Network Shortcuts
		PrintHood	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Printer Shortcuts
		Profile	C:\Users\brosc
		Program Files (x86)	C:\Program Files (x86)
		Program Files	C:\Program Files (x86)
		Programs	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
		Recent	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Recent
		Resources	C:\WINDOWS\resources
		SendTo	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\SendTo
		Start Menu	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Start Menu
		Startup	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
		System (x86)	C:\WINDOWS\SysWOW64
		System	C:\WINDOWS\system32
		Temp	C:\Users\brosc\AppData\Local\Temp\
		Templates	C:\Users\brosc\AppData\Roaming\Microsoft\Windows\Templates
		Windows	C:\WINDOWS

Протоколы событий


Имя протокола	Тип события	Категория	Дата создания	Пользователь	Источник	Описание
Приложение	Внимание	Нет	2017-08-07 04:26:10	СИСТЕМА	Microsoft-Windows-User Profiles Service	1534: Ошибка уведомления профиля о событии Create для компонента {D63AA156-D534-4BAC-9BF1-55359CF5EC30}; код ошибки Системе не удается найти указанный путь. .
Приложение	Внимание	Нет	2017-08-07 04:26:10	СИСТЕМА	Microsoft-Windows-User Profiles Service	1534: Ошибка уведомления профиля о событии Create для компонента {D63AA156-D534-4BAC-9BF1-55359CF5EC30}; код ошибки Системе не удается найти указанный путь. .
Приложение	Внимание	1	2017-08-07 04:28:40		Windows Search Service	1008: Служба Windows Search запускается и пытается удалить старый поисковый индекс (причина: Миграция параметров средства индексирования).
Приложение	Ошибка	Нет	2017-08-07 04:28:42		SecurityCenter	16: Ошибка при изменении состояния Windows Defender на SECURITY_PRODUCT_STATE_ON.
Приложение	Ошибка	Нет	2017-08-07 04:28:42		SecurityCenter	16: Ошибка при изменении состояния Windows Defender на SECURITY_PRODUCT_STATE_ON.
Приложение	Ошибка	Нет	2017-08-07 04:29:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:29:48		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 04:29:48		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 04:29:58		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:29:58		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:11		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 04:30:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:49		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:56		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:57		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:30:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:31:32		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:31:59		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 04:31:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:32:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:32:07		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:32:19		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:15		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:41		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:42		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:43		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:33:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:34:03		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:34:06		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:34:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	100	2017-08-07 04:34:18		Application Error	1000: Имя сбойного приложения: setup.exe_NVIDIA Install Application, версия: 2.1002.251.2154, метка времени: 0x594b7ab7 Имя сбойного модуля: NVI2.DLL, версия: 2.1002.251.2154, метка времени: 0x594b7bf5 Код исключения: 0x40000015 Смещение ошибки: 0x00132eb4 Идентификатор сбойного процесса: 0x2344 Время запуска сбойного приложения: 0x01d30f1d3d02210f Путь сбойного приложения: C:\Users\brosc\AppData\Local\Temp\NVIDIA\GFE\setup.exe Путь сбойного модуля: C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{FDF4B11D-8FB7-455D-BA7A-A4863453DE7D}\NVI2.DLL Идентификатор отчета: 6979f3dc-61da-4def-b8c5-3b07cc958bf2 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
Приложение	Ошибка	Нет	2017-08-07 04:34:19		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:34:20		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:34:23		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:34:28		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 04:35:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:35:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 04:35:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:53:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:53:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:53:30		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:53:31		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:53:57		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:03		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:16		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:34		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:34		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:54:34		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:54:36		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:40		Perflib	1008: Ошибка в процедуре открытия службы "BITS" из библиотеки "C:\Windows\System32\bitsperf.dll". Данные производительности не будут доступны для этой службы. Первые четыре байта (DWORD) в разделе данных содержат код ошибки.
Приложение	Ошибка	Нет	2017-08-07 12:54:47		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:51		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:54:51		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:54:51		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:54:51		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:06		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:06		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:12		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:12		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:12		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:13		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:19		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:19		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:19		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:19		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:19		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:31		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:31		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:31		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:31		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:51		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:51		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 12:55:51		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 12:55:52		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:00:24		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:00:24		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:00:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:00:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:00:34		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:00:35		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:00:36		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:00:36		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:00:36		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:00:36		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:01:48		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:01:48		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:01:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:01:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:02:40		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:02:40		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\avastui.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:02:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:02:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:02:41		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:02:42		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:04:19		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\sched.exe". Не найдена зависимая сборка "Avast.VC140.CRT,processorArchitecture="x86",publicKeyToken="fcc99ee6193ebbca",type="win32",version="14.0.23918.0"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:05:17		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:05:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:05:36		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:05:36		SideBySide	33: Ошибка при создании контекста активации для "D:\Program Files\Avast\setup\iplugins\IStats.dll". Не найдена зависимая сборка "Avast.VC110.CRT,processorArchitecture="x86",publicKeyToken="2036b14a11e83e4a",type="win32",version="11.0.60610.1"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-07 13:07:38		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:07:38		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:08:13		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:08:13		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:08:13		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:08:54		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:09:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:09:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:10:43		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:14:02		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:14:02		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:14:05		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:15:55		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:17:57		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:17:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:18:01		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:18:09		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:18:30		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:19:23		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:19:35		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:19:37		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:01		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:04		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:06		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:07		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:14		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:14		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:39		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:20:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:21:08		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:21:09		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:22:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:22:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	100	2017-08-07 13:22:28		Application Error	1000: Имя сбойного приложения: svchost.exe_XblAuthManager, версия: 10.0.15063.0, метка времени: 0x02799ef5 Имя сбойного модуля: ntdll.dll, версия: 10.0.15063.447, метка времени: 0xa329d3a8 Код исключения: 0xc0000008 Смещение ошибки: 0x00000000000a917a Идентификатор сбойного процесса: 0x4d4 Время запуска сбойного приложения: 0x01d30f6637e09eec Путь сбойного приложения: c:\windows\system32\svchost.exe Путь сбойного модуля: C:\WINDOWS\SYSTEM32\ntdll.dll Идентификатор отчета: 274787da-43a9-4697-9dc6-6afca86b523f Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
Приложение	Ошибка	Нет	2017-08-07 13:23:08		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:23:08		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:23:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:23:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:23:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:25:13		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:25:14		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:25:15		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:27:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:31:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:31:13		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:33:09		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:36:57		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:36:57		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:46:02		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:46:55		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:47:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:47:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:47:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:51:54		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:51:56		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:52:00		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:53:26		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:53:52		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:53:52		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:54:28		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 13:55:13		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-07 13:55:13		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	Нет	2017-08-07 13:55:16		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-07 13:55:16		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	Нет	2017-08-07 14:49:10		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 14:49:11		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 14:49:19		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 14:51:09		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 14:54:07		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-07 14:54:07		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	Нет	2017-08-07 15:12:58		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 15:12:59		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-07 15:24:34		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	100	2017-08-08 19:35:21		Application Error	1000: Имя сбойного приложения: ShellExperienceHost.exe, версия: 10.0.15063.0, метка времени: 0x58ccbd2e Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.15063.502, метка времени: 0x243da970 Код исключения: 0xc000027b Смещение ошибки: 0x00000000004432bf Идентификатор сбойного процесса: 0x1f14 Время запуска сбойного приложения: 0x01d3106453caa71b Путь сбойного приложения: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: 2c005c5d-fc52-4125-8047-a8a982dbf61a Полное имя сбойного пакета: Microsoft.Windows.ShellExperienceHost_10.0.15063.332_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: App
Приложение	Ошибка	Нет	2017-08-08 19:35:22		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:35:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	100	2017-08-08 19:35:24		Application Error	1000: Имя сбойного приложения: ShellExperienceHost.exe, версия: 10.0.15063.0, метка времени: 0x58ccbd2e Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.15063.502, метка времени: 0x243da970 Код исключения: 0xc000027b Смещение ошибки: 0x00000000004432bf Идентификатор сбойного процесса: 0x2880 Время запуска сбойного приложения: 0x01d3106455e1721f Путь сбойного приложения: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: f4975efc-838f-4ddd-a3cc-e8a473441552 Полное имя сбойного пакета: Microsoft.Windows.ShellExperienceHost_10.0.15063.332_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: App
Приложение	Ошибка	100	2017-08-08 19:35:27		Application Error	1000: Имя сбойного приложения: ShellExperienceHost.exe, версия: 10.0.15063.0, метка времени: 0x58ccbd2e Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.15063.502, метка времени: 0x243da970 Код исключения: 0xc000027b Смещение ошибки: 0x00000000004432bf Идентификатор сбойного процесса: 0x2278 Время запуска сбойного приложения: 0x01d3106457549c55 Путь сбойного приложения: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: 49e90080-8c76-48d7-b129-4a7f789061b8 Полное имя сбойного пакета: Microsoft.Windows.ShellExperienceHost_10.0.15063.332_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: App
Приложение	Ошибка	100	2017-08-08 19:35:29		Application Error	1000: Имя сбойного приложения: ShellExperienceHost.exe, версия: 10.0.15063.0, метка времени: 0x58ccbd2e Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.15063.502, метка времени: 0x243da970 Код исключения: 0xc000027b Смещение ошибки: 0x00000000004432bf Идентификатор сбойного процесса: 0x6f4 Время запуска сбойного приложения: 0x01d3106458cd3f76 Путь сбойного приложения: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: fbbc249c-c7d8-4c0a-9da7-55e7e0638675 Полное имя сбойного пакета: Microsoft.Windows.ShellExperienceHost_10.0.15063.332_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: App
Приложение	Ошибка	100	2017-08-08 19:35:32		Application Error	1000: Имя сбойного приложения: ShellExperienceHost.exe, версия: 10.0.15063.0, метка времени: 0x58ccbd2e Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.15063.502, метка времени: 0x243da970 Код исключения: 0xc000027b Смещение ошибки: 0x00000000004432bf Идентификатор сбойного процесса: 0x1dcc Время запуска сбойного приложения: 0x01d310645a3f09d2 Путь сбойного приложения: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: 9281bdda-769c-4580-a4d6-83e1e357c44f Полное имя сбойного пакета: Microsoft.Windows.ShellExperienceHost_10.0.15063.332_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: App
Приложение	Ошибка	100	2017-08-08 19:35:34		Application Error	1000: Имя сбойного приложения: ShellExperienceHost.exe, версия: 10.0.15063.0, метка времени: 0x58ccbd2e Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.15063.502, метка времени: 0x243da970 Код исключения: 0xc000027b Смещение ошибки: 0x00000000004432bf Идентификатор сбойного процесса: 0x2774 Время запуска сбойного приложения: 0x01d310645bb0755b Путь сбойного приложения: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: fa0d0d41-d389-4667-a77d-e01fd1e032ac Полное имя сбойного пакета: Microsoft.Windows.ShellExperienceHost_10.0.15063.332_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: App
Приложение	Ошибка	Нет	2017-08-08 19:35:51		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:36:09		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:36:12		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:36:32		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:36:36		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:36:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:36:46		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-08 19:37:17		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-08 19:37:38		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:38:57		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	101	2017-08-08 19:39:15		Application Hang	1002: Программа explorer.exe версии 10.0.15063.447 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, имеются ли дополнительные сведения о проблеме, проверьте историю проблемы в разделе "Безопасность и обслуживание" в панели управления. ИД процесса: 2198 Время запуска: 01d31064536c8eba Время завершения: 0 Путь приложения: C:\Windows\explorer.exe ИД отчета: 185c11aa-aeb4-4092-9d67-9482cbd046f9 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
Приложение	Ошибка	Нет	2017-08-08 19:39:16		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:39:16		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:39:51		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-08 19:39:51		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	Нет	2017-08-08 19:46:44		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:46:45		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:46:47		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-08 19:46:51		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-08 19:47:36		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:47:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:47:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:47:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:47:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:48:18		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:48:20		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:48:20		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:49:33		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 19:49:37		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-08 19:49:40		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-08 19:49:53		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-08 19:49:53		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	Нет	2017-08-08 20:37:42		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 20:37:43		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 20:37:46		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-08 20:37:49		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-08 20:38:17		Perflib	1008: Ошибка в процедуре открытия службы "BITS" из библиотеки "C:\Windows\System32\bitsperf.dll". Данные производительности не будут доступны для этой службы. Первые четыре байта (DWORD) в разделе данных содержат код ошибки.
Приложение	Ошибка	Нет	2017-08-08 20:38:17		Perflib	1023: Windows не удалось загрузить расширяемую библиотеку счетчиков rdyboost. Первые четыре байта (DWORD) в разделе данных содержат код ошибки Windows.
Приложение	Ошибка	5973	2017-08-08 20:41:58	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.WindowsStore_8wekyb3d8bbwe!App. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	5973	2017-08-08 20:53:29	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.WindowsStore_8wekyb3d8bbwe!App. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-08 21:02:27		SideBySide	33: Ошибка при создании контекста активации для "C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe". Не найдена зависимая сборка "Microsoft.VC90.MFC,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8"". Используйте sxstrace.exe для подробной диагностики.
Приложение	Ошибка	Нет	2017-08-08 22:07:21		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 22:07:21		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-08 22:07:22		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-08 22:07:23		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	5973	2017-08-08 22:11:36	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.WindowsStore_8wekyb3d8bbwe!App. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-08 23:37:08		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 02:40:03	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 03:36:41		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-09 06:07:22		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-09 07:36:08		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 08:56:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 08:56:40	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Внимание	Нет	2017-08-09 08:56:48		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-09 08:58:37		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 09:02:33		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 09:02:33		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 09:02:33	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Внимание	Нет	2017-08-09 09:02:42		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	5973	2017-08-09 09:03:58	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 09:04:32		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 11:51:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 11:52:01		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 11:52:12		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 11:57:46		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 13:06:18		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 13:06:26		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 15:35:39		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 16:40:35		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 16:40:35		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	Нет	2017-08-09 16:40:35		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 16:40:35	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 16:43:06		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-09 16:43:06		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	Нет	2017-08-09 16:43:23		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 16:46:37	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	5973	2017-08-09 16:46:38	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 16:57:39		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 16:57:39	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 16:57:40		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-09 16:57:45		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	Нет	2017-08-09 16:57:48		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Ошибка	5973	2017-08-09 16:57:58	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 17:15:29		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\steam.exe
Приложение	Ошибка	Нет	2017-08-09 17:15:29		Steam Client Service	1: Error: Failed to add firewall exception for D:\Steam\bin\cef\cef.win7\steamwebhelper.exe
Приложение	Ошибка	5973	2017-08-09 17:25:23	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 17:25:24		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Приложение	Внимание	Нет	2017-08-09 17:25:31		AutoEnrollment	64: Срок действия сертификата для Локальная система с отпечатком f8 5f ac 53 6f 58 5a f3 7b 84 9c d4 d0 26 92 c3 d1 f7 09 d2 скоро истекает или уже истек.
Приложение	Ошибка	5973	2017-08-09 17:25:46	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	5973	2017-08-09 17:25:48	brosc	Microsoft-Windows-Immersive-Shell	5973: Сбой активации приложения Microsoft.SkypeApp_kzf8qxf38zg5c!ppleae38af2e007f4358a809ac99a64a67c1. Ошибка: -2147009284. Дополнительные сведения см. в журнале Microsoft-Windows-TWinUI/Operational.
Приложение	Ошибка	Нет	2017-08-09 17:27:22		SideBySide	59: Ошибка создания контекста архивации для "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe". Ошибка в файле манифеста или политики "D:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorUI.exe.Config" в строке 0. Синтаксическая ошибка в XML.
Безопасность	Audit Success	13312	2017-08-07 04:24:59		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x160 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:24:59		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x16c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-07 04:24:59		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-07 04:25:00		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x214 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x214 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b4 Имя нового процесса: ????????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1c0 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1cc Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x214 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1c0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:25:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x21c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x214 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x4d91e Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x4d910 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x214 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x53e3a Связанный ИД входа: 0x53e4c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x53e4c Связанный ИД входа: 0x53e3a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host Код входа: 0x4d910 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x53e3a Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x53e4c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-07 04:25:08		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x4d753
Безопасность	Audit Success	12544	2017-08-07 04:25:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:25:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12292	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	5033: Драйвер брандмауэра Windows запущен успешно.
Безопасность	Audit Success	12292	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	5024: Служба брандмауэра Windows запущена успешно.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0xf06e3 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:25:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:25:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:25:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:25:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:25:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:25:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:26:05		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x588 Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:26:10		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: defaultuser0 Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: 07.08.2017 1:23:54 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x211 Новое значение UAC: 0x11 Управление учетной записью пользователя: %%2057 Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	103	2017-08-07 04:26:20		Microsoft-Windows-Eventlog	1100: Служба ведения журнала событий завершила работу.
Безопасность	Audit Success	13312	2017-08-07 04:27:02		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x144 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:02		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x158 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x144 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-07 04:27:02		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1a4 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x144 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1ac Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1a4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f0 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x144 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1a4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x204 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1f0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x24c Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 04:27:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x254 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1fc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x7cd3 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1fc Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x7d07 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xc1d7 Связанный ИД входа: 0xc1e9 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xc1e9 Связанный ИД входа: 0xc1d7 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xc1d7 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xc1e9 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2a0 Имя нового процесса: ????????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1f0 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-07 04:27:04		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x7908
Безопасность	Audit Success	12292	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	5033: Драйвер брандмауэра Windows запущен успешно.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	12292	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	5024: Служба брандмауэра Windows запущена успешно.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x1a40a Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x9b4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x9b4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x9c4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x9c4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-544 Домен учетной записи: Builtin Старое имя учетной записи: Администраторы Новое имя учетной записи: Администраторы Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-545 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи Новое имя учетной записи: Пользователи Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-546 Домен учетной записи: Builtin Старое имя учетной записи: Гости Новое имя учетной записи: Гости Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-551 Домен учетной записи: Builtin Старое имя учетной записи: Операторы архива Новое имя учетной записи: Операторы архива Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-552 Домен учетной записи: Builtin Старое имя учетной записи: Репликатор Новое имя учетной записи: Репликатор Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-555 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи удаленного рабочего стола Новое имя учетной записи: Пользователи удаленного рабочего стола Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-556 Домен учетной записи: Builtin Старое имя учетной записи: Операторы настройки сети Новое имя учетной записи: Операторы настройки сети Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-547 Домен учетной записи: Builtin Старое имя учетной записи: Опытные пользователи Новое имя учетной записи: Опытные пользователи Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-558 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи системного монитора Новое имя учетной записи: Пользователи системного монитора Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-559 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи журналов производительности Новое имя учетной записи: Пользователи журналов производительности Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-562 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи DCOM Новое имя учетной записи: Пользователи DCOM Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-568 Домен учетной записи: Builtin Старое имя учетной записи: IIS_IUSRS Новое имя учетной записи: IIS_IUSRS Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-569 Домен учетной записи: Builtin Старое имя учетной записи: Криптографические операторы Новое имя учетной записи: Криптографические операторы Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-573 Домен учетной записи: Builtin Старое имя учетной записи: Читатели журнала событий Новое имя учетной записи: Читатели журнала событий Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-578 Домен учетной записи: Builtin Старое имя учетной записи: Администраторы Hyper-V Новое имя учетной записи: Администраторы Hyper-V Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-579 Домен учетной записи: Builtin Старое имя учетной записи: Операторы помощи по контролю учетных записей Новое имя учетной записи: Операторы помощи по контролю учетных записей Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-580 Домен учетной записи: Builtin Старое имя учетной записи: Пользователи удаленного управления Новое имя учетной записи: Пользователи удаленного управления Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-32-581 Домен учетной записи: Builtin Старое имя учетной записи: Управляемая системой группа учетных записей Новое имя учетной записи: Управляемая системой группа учетных записей Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: Администратор Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x211 Новое значение UAC: 0x211 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: Администратор Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x211 Новое значение UAC: 0x211 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: Гость Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: Гость Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: DefaultAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: DefaultAccount Отображаемое имя: %%1793 Основное имя пользователя: - Домашний каталог: %%1793 Домашний диск: %%1793 Путь к сценарию: %%1793 Путь к профилю: %%1793 Рабочие станции пользователя: %%1793 Последний пароль задан: %%1794 Срок действия учетной записи истекает: %%1794 Идентификатор основной группы: 513 Разрешено делегировать: - Старое значение UAC: 0x215 Новое значение UAC: 0x215 Управление учетной записью пользователя: - Параметры пользователя: %%1793 Журнал SID: - Часы входа: %%1797 Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4781: Изменено имя учетной записи: Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-513 Домен учетной записи: DESKTOP-PR7DC6K Старое имя учетной записи: Отсутствует Новое имя учетной записи: Отсутствует Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Администраторы Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Гости Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Операторы архива Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Репликатор Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи удаленного рабочего стола Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Операторы настройки сети Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Опытные пользователи Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи системного монитора Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи журналов производительности Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи DCOM Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: IIS_IUSRS Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Криптографические операторы Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Читатели журнала событий Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Администраторы Hyper-V Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Операторы помощи по контролю учетных записей Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Пользователи удаленного управления Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4735: Изменена локальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Измененные атрибуты: Имя учетной записи SAM: Управляемая системой группа учетных записей Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4737: Изменена глобальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-513 Имя группы: Отсутствует Домен группы: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:27:26		Microsoft-Windows-Security-Auditing	4737: Изменена глобальная группа с включенной безопасностью. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Группа: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-513 Имя группы: Отсутствует Домен группы: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: Отсутствует Журнал SID: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	12544	2017-08-07 04:27:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:27:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13824	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1000 Имя учетной записи: defaultuser0 Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:29		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x49c Имя процесса: C:\$WINDOWS.~BT\Sources\setupplatform.exe
Безопасность	Audit Success	12544	2017-08-07 04:27:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:27:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 04:27:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd7c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	12544	2017-08-07 04:27:46		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:46		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:27:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:27:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:28:00		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:28:00		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Failure	12290	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12290	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2457 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2459 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:28:05		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 04:28:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:28:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:28:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:28:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 04:28:40		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd70 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-07 04:28:40		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd70 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13568	2017-08-07 04:28:41		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Temp\winre\ExtractedFromWim Идентификатор дескриптора: 0x828 Сведения о процессе: Идентификатор процесса: 0x1284 Имя процесса: C:\Windows\System32\oobe\msoobe.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	12544	2017-08-07 04:28:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:28:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:01		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:01		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 04:29:03		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x648 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 04:29:03		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x648 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 04:29:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:29:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:29:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:29:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:29:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:29:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:29:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 04:29:37		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x12a8 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	12544	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xa24 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0xef6b4 Связанный ИД входа: 0xef6e0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa24 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0xef6e0 Связанный ИД входа: 0xef6b4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa24 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x254 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0xefa69 Связанный ИД входа: 0xefad8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x254 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0xefad8 Связанный ИД входа: 0xefa69 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x254 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0xefad8 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0xefa69 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0xef6b4 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0xefa69 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 04:29:44		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 04:29:45		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:45		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:29:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:29:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Failure	12290	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12290	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2457 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2459 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:29:58		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 04:30:46		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:30:46		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:30:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:30:59		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Failure	12290	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12290	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2481 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\brosc\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2459 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\brosc\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 04:31:03		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0xef6e0 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	13824	2017-08-07 04:31:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1730 Имя процесса: C:\Windows\System32\SettingSyncHost.exe
Безопасность	Audit Success	13824	2017-08-07 04:31:08		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:31:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1730 Имя процесса: C:\Windows\System32\SettingSyncHost.exe
Безопасность	Audit Success	13824	2017-08-07 04:31:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1730 Имя процесса: C:\Windows\System32\SettingSyncHost.exe
Безопасность	Audit Success	13824	2017-08-07 04:31:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1730 Имя процесса: C:\Windows\System32\SettingSyncHost.exe
Безопасность	Audit Success	13824	2017-08-07 04:31:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1730 Имя процесса: C:\Windows\System32\SettingSyncHost.exe
Безопасность	Audit Success	12544	2017-08-07 04:31:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:31:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:31:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:31:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 04:31:35		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f70 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 04:31:35		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f70 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 04:31:51		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:31:51		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:33:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:33:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:34:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:34:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 04:34:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:34:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 04:35:34		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:34		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: defaultuser0 Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:34		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:34		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:34		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x668 Имя процесса: C:\Windows\explorer.exe
Безопасность	Audit Success	13824	2017-08-07 04:35:59		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:59		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: defaultuser0 Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:59		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:59		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 04:35:59		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0xef6e0 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1bf4 Имя процесса: C:\Windows\explorer.exe
Безопасность	Audit Success	12544	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x20b8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x5f9f6e Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x20b8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x20b8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x5fa3f3 Связанный ИД входа: 0x5fac9f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x20b8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x5fac9f Связанный ИД входа: 0x5fa3f3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x20b8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x5fa3f3 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 04:36:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x5fac9f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12545	2017-08-07 04:36:35		Microsoft-Windows-Security-Auditing	4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0xef6e0 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Безопасность	Audit Success	12545	2017-08-07 04:36:36		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xc1e9 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 04:36:36		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xc1d7 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 04:36:36		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host Код входа: 0x7d07 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	13824	2017-08-07 12:53:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	12544	2017-08-07 12:53:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:53:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 12:53:11		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xd3c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 12:53:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:53:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:53:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:53:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:53:15		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:53:15		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xa24 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x644ce7 Связанный ИД входа: 0x644d1d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa24 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x644d1d Связанный ИД входа: 0x644ce7 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa24 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x254 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x644f86 Связанный ИД входа: 0x644fe8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x254 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x644fe8 Связанный ИД входа: 0x644f86 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x254 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x644fe8 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x644f86 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x644ce7 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x644f86 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 12:53:22		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 12:53:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:53:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 12:53:29		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xd3c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 12:53:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:53:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x67c Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x3cc Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x5e0 Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_advancedinstallers_0c6bb4866bff02f7.cdf-ms Идентификатор дескриптора: 0x630 Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x67c Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_advancedinstallers_dfe2cf200b391371.cdf-ms Идентификатор дескриптора: 0x5e0 Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_fc2045b9046cc796.cdf-ms Идентификатор дескриптора: 0x630 Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_version_10.0.15063.410_883b34b90e9a73fb.cdf-ms Идентификатор дескриптора: 0x3cc Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_sqm_51d9d5f9de5a2fa5.cdf-ms Идентификатор дескриптора: 0x618 Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_sessions_5591aee9e2456a35.cdf-ms Идентификатор дескриптора: 0x59c Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_packages_46c20bc5f833cc43.cdf-ms Идентификатор дескриптора: 0x6ec Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:16		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_logs_cbs_10a752bcbbaee88b.cdf-ms Идентификатор дескриптора: 0x59c Сведения о процессе: Идентификатор процесса: 0x1d48 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.0_none_1a733a82001933cc\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	12544	2017-08-07 12:54:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:54:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-07 12:54:52		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x62c Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x630 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_macromed_flash_853cbcf10f17f618.cdf-ms Идентификатор дескриптора: 0x62c Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x5dc Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_macromed_flash_5ff3bc7496f0271e.cdf-ms Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\activex.vch Идентификатор дескриптора: 0x5d4 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\Flash.ocx Идентификатор дескриптора: 0x5dc Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.dll Идентификатор дескриптора: 0x5ec Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\activex.vch Идентификатор дескриптора: 0x5d4 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\Flash.ocx Идентификатор дескриптора: 0x5e8 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\FlashUtil_ActiveX.dll Идентификатор дескриптора: 0x568 Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-07 12:54:53		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\FlashUtil_ActiveX.exe Идентификатор дескриптора: 0x50c Сведения о процессе: Идентификатор процесса: 0x28f8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	12290	2017-08-07 12:55:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: 2005c497-1924-d268-5754-49b9fcf74ebb Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 12:55:43		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 2005c497-1924-d268-5754-49b9fcf74ebb Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\SystemKeys\dac67de4f52ace7ed037342bbe981839_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 12:55:46		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:55:46		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 12:55:46		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x644d1d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1410 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 12:56:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 12:56:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:56:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 12:56:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:57:24		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:57:24		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:57:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:57:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:59:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:59:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 12:59:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 12:59:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 12:59:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x143c Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 12:59:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x143c Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 13:00:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:00:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:00:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:00:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Failure	12290	2017-08-07 13:00:38		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {B86C1D82-5FCF-4FED-8EAC-A18149D405F3} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:00:38		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {B86C1D82-5FCF-4FED-8EAC-A18149D405F3} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:00:38		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {B86C1D82-5FCF-4FED-8EAC-A18149D405F3} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:00:38		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {B86C1D82-5FCF-4FED-8EAC-A18149D405F3} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:00:38		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e4 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {B86C1D82-5FCF-4FED-8EAC-A18149D405F3} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-07 13:02:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:02:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:03:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:03:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:03:42		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x281c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:03:46		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x281c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:04:01		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x644ce7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x25b4 Имя процесса: C:\Users\brosc\AppData\Local\Temp\_av_iup.tm~a05668\New_110508ff\instup.exe
Безопасность	Audit Success	12544	2017-08-07 13:05:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:05:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:05:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:05:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:08:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:08:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:08:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:08:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:08:23		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x644d1d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x27a4 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:11:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x24c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:11:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-07 13:13:47		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x160 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:13:47		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x170 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-07 13:13:47		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-07 13:13:50		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1dc Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:13:50		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1e4 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1dc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:13:51		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x238 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x160 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:13:51		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x244 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1dc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:13:51		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x24c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x238 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	101	2017-08-07 13:13:52		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12288	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x9254 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x244 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x928c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xe704 Связанный ИД входа: 0xe721 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xe721 Связанный ИД входа: 0xe704 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe704 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe721 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x290 Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x244 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x298 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x244 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-07 13:13:52		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x9008
Безопасность	Audit Success	12544	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1e0 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13826	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x9b8 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 13:13:53		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x9b8 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12292	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	5033: Драйвер брандмауэра Windows запущен успешно.
Безопасность	Audit Success	12292	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	5024: Служба брандмауэра Windows запущена успешно.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x2b83d Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc28 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 13:13:54		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc28 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 13:13:58		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:13:58		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x58c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3cac5 Связанный ИД входа: 0x3caf1 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x58c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3caf1 Связанный ИД входа: 0x3cac5 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x58c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x298 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3cc55 Связанный ИД входа: 0x3cc83 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x298 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3cc83 Связанный ИД входа: 0x3cc55 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x298 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3cc83 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3cc55 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x3cac5 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x3cc55 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 13:13:59		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	12544	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:14:00		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x494 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 13:14:02		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:14:02		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:14:02		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x18c0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-07 13:14:02		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x18c0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12290	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:14:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:14:45		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3caf1 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x21a4 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 13:14:55		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:14:55		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:15:26		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3cac5 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x768 Имя процесса: C:\Users\brosc\AppData\Local\Temp\Temp1_AutoLogon (1).zip\Autologon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:15:26		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x148be6 Связанный ИД входа: 0x148c2d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x768 Имя процесса: C:\Users\brosc\AppData\Local\Temp\Temp1_AutoLogon (1).zip\Autologon.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:15:26		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x148c2d Связанный ИД входа: 0x148be6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x768 Имя процесса: C:\Users\brosc\AppData\Local\Temp\Temp1_AutoLogon (1).zip\Autologon.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:15:26		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x148be6 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:15:26		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа: 0x3cac5 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	12545	2017-08-07 13:15:27		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x148c2d Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 13:15:27		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x148be6 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12544	2017-08-07 13:15:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:15:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:15:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:15:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:15:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:15:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:16:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:16:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:17:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:17:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:17:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:17:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:17:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:17:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-07 13:17:14		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2481 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:14		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2459 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:14		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:17		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:17:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:17:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:43		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:17:43		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 13:18:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:18:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:18:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:18:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:18:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:18:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:18:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:18:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:19:01		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:19:01		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:19:01		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:19:01		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:19:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:19:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:20:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	12544	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x6c3cbd
Безопасность	Audit Success	13568	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x6c3cbd
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f14 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	13826	2017-08-07 13:21:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cac5 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x291c Имя процесса: C:\Windows\System32\SystemPropertiesProtection.exe
Безопасность	Audit Success	12544	2017-08-07 13:22:16		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:22:16		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:22:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:22:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:22:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:22:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12292	2017-08-07 13:22:28		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Сведения об операции с файлом ключей: Путь к файлу: C:\ProgramData\Microsoft\Crypto\Keys\aeadd8316574d56951ac620af43d2d03_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2457 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 13:22:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:22:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:22:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:22:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:23:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x290 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:23:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:23:54		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x468 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:23:59		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x468 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13312	2017-08-07 13:25:05		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:05		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x194 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-07 13:25:05		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-07 13:25:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x200 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x200 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x9461 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x943a Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x200 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-07 13:25:08		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x91f2
Безопасность	Audit Success	101	2017-08-07 13:25:09		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xe929 Связанный ИД входа: 0xe949 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xe949 Связанный ИД входа: 0xe929 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe929 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe949 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xaf4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 13:25:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xaf4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x25b76 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26c52 Связанный ИД входа: 0x26d3d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26d3d Связанный ИД входа: 0x26c52 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2723f Связанный ИД входа: 0x2726d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2726d Связанный ИД входа: 0x2723f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x2726d Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x2723f Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x26c52 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x2723f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1cc Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc20 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc20 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 13:25:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x518 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 13:25:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:25:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:25:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16a8 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-07 13:25:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16a8 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12544	2017-08-07 13:25:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:25:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:25:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:25:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:26:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:26:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:27:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:27:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:27:16		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1900 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:28:49		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xac8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:28:50		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:28:50		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:28:55		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xac8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:29:24		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:29:24		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:29:24		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:29:24		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:29:25		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2b9c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:29:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:29:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:29:27		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2b9c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:30:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:30:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:30:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:30:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:30:14		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2918 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:30:15		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:30:15		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:30:16		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2918 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:30:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:30:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:30:18		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1704 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:30:21		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1704 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:30:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:30:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:30:30		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x19d0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:30:32		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x19d0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:32:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:32:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:32:38		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2810 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 13:32:38		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2810 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 13:34:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:34:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:35:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:35:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:35:11		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1488 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:35:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:35:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:35:41		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1488 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:38:50		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1bb8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:40:02		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:40:02		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:40:05		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1bb8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 13:40:12		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2b90 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 13:45:55		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:45:55		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:46:02		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:46:02		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:46:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:46:59		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:50:45		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:50:45		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:51:30		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2888 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 13:51:58		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:51:58		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 13:52:41		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:52:41		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: defaultuser0 Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:52:41		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:52:41		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:52:41		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x22dc Имя процесса: D:\Program Files\Mail.Ru\Cloud\15060853\Cloud.exe
Безопасность	Audit Success	13824	2017-08-07 13:55:03		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:55:03		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: defaultuser0 Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:55:03		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:55:03		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-07 13:55:03		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d3d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xe84 Имя процесса: C:\Windows\explorer.exe
Безопасность	Audit Success	12544	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	12544	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:17		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	12544	2017-08-07 13:57:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:57:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-07 13:57:19		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x37d534
Безопасность	Audit Success	13568	2017-08-07 13:57:19		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x37d534
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:21		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:21		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:25		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-07 13:57:26		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x3a801d
Безопасность	Audit Success	13568	2017-08-07 13:57:26		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x3a801d
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:27		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:28		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:28		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26c52 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x760 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 13:57:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-07 13:57:34		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x3cfefb
Безопасность	Audit Success	13568	2017-08-07 13:57:34		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1d40 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x3cfefb
Безопасность	Audit Success	12544	2017-08-07 13:58:51		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:58:51		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 13:58:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 13:58:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 14:00:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:00:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-07 14:49:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 14:49:03		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-07 14:49:03		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-07 14:49:05		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x200 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 14:49:05		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x210 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x200 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x913c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x26c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x9150 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x26c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x200 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b8 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x26c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x26c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-07 14:49:06		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x8f09
Безопасность	Audit Success	101	2017-08-07 14:49:07		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xe402 Связанный ИД входа: 0xe420 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xe420 Связанный ИД входа: 0xe402 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe402 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe420 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2481f Связанный ИД входа: 0x24858 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x24858 Связанный ИД входа: 0x2481f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x24be4 Связанный ИД входа: 0x24c24 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x24c24 Связанный ИД входа: 0x24be4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x24c24 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x24be4 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x2481f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x24be4 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x344 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa7c Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa7c Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd40 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 14:49:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd40 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 14:49:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x530 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 14:49:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:49:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 14:49:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x423a9 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	13826	2017-08-07 14:49:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-07 14:49:11		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x16b0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12290	2017-08-07 14:49:12		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 14:49:12		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 14:49:12		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 14:49:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:49:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-07 14:49:19		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 14:49:19		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-07 14:49:19		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-07 14:49:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:49:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 14:50:03		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x24858 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x261c Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 14:51:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:51:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:51:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:51:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 14:51:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x24a8 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-07 14:51:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x24a8 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-07 14:52:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:52:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:52:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:52:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 14:59:08		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2ba8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 14:59:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 14:59:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 14:59:14		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2ba8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 15:04:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 15:04:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 15:04:09		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x24858 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2958 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 15:04:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 15:04:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 15:06:26		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 15:06:26		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 15:06:43		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x24858 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2ba0 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 15:07:02		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 15:07:02		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 15:09:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 15:09:09		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 15:09:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 15:09:09		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 15:09:09		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x20 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-07 15:09:14		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x20 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-07 15:50:16		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 15:50:16		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 16:03:45		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x24858 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xc18 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 16:26:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:26:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-07 16:26:55		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x24858 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2cb8 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:09		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	12544	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	12544	2017-08-07 16:28:15		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 16:28:15		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:28:15		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 16:28:15		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-07 16:28:15		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1675c6e
Безопасность	Audit Success	13568	2017-08-07 16:28:15		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1675c6e
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:57		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:58		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:28:58		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	12544	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2481f Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2f30 Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-07 16:29:04		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-07 16:29:06		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x16d73cb
Безопасность	Audit Success	13568	2017-08-07 16:29:06		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1f4c Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x16d73cb
Безопасность	Audit Success	13824	2017-08-07 16:29:10		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x24858 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2924 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-07 16:34:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:34:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 16:34:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:34:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x21e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x179c383 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x21e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x21e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x179c69b Связанный ИД входа: 0x179c6b7 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x21e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x179c6b7 Связанный ИД входа: 0x179c69b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x21e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x179c69b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-07 16:39:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x179c6b7 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12545	2017-08-07 16:39:08		Microsoft-Windows-Security-Auditing	4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x24858 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Безопасность	Audit Success	12545	2017-08-07 16:39:09		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe420 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 16:39:09		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xe402 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-07 16:39:09		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host Код входа: 0x9150 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12544	2017-08-08 19:35:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:35:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 19:35:19		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x27c0 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x17adedc Связанный ИД входа: 0x17adf0d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x17adf0d Связанный ИД входа: 0x17adedc Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x17ae131 Связанный ИД входа: 0x17ae17a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x17ae17a Связанный ИД входа: 0x17ae131 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x17ae17a Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x17ae131 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x17adedc Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x17ae131 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-08 19:35:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x530 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 19:35:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:35:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:35:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:35:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:35:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:35:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:38:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:38:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:38:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:38:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:39:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:39:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:44:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:44:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-08 19:46:35		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:35		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-08 19:46:35		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-08 19:46:37		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:37		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x7beb Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x260 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x7bfb Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x258 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ac Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-08 19:46:38		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x7a65
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xcfe2 Связанный ИД входа: 0xcfff Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xcfff Связанный ИД входа: 0xcfe2 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xcfe2 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xcfff Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	101	2017-08-08 19:46:40		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x898 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 19:46:40		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x898 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 19:46:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd14 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 19:46:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd14 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x62c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26d59 Связанный ИД входа: 0x26d8f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x62c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26d8f Связанный ИД входа: 0x26d59 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x62c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2725c Связанный ИД входа: 0x2728a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2728a Связанный ИД входа: 0x2725c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x2728a Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x2725c Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x26d59 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x2725c Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1a8 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-08 19:46:42		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Failure	12290	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x390cf Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 19:46:43		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x550 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 19:46:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:44		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 19:46:45		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17f0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-08 19:46:45		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17f0 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12290	2017-08-08 19:46:46		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:46:46		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:46:46		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 19:46:46		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:46		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:46:48		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:46:48		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:48		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:46:48		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-08 19:46:53		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:46:53		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:46:53		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 19:46:53		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:46:53		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:47:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:47:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:06		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:07		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:07		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x26d59 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14bc Имя процесса: \Device\HarddiskVolume5\Windows\Snappy Driver Installer 02.05.17\SDIO_x64_R558.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 19:48:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-08 19:48:13		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x170938
Безопасность	Audit Success	13568	2017-08-08 19:48:13		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x27f0 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x170938
Безопасность	Audit Success	12544	2017-08-08 19:48:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ac Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:48:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12545	2017-08-08 19:49:06		Microsoft-Windows-Security-Auditing	4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x26d8f Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Безопасность	Audit Success	103	2017-08-08 19:49:07		Microsoft-Windows-Eventlog	1100: Служба ведения журнала событий завершила работу.
Безопасность	Audit Success	13312	2017-08-08 19:49:25		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:49:25		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-08 19:49:25		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-08 19:49:26		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d8 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:49:27		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	13312	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x26c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d8 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b8 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x26c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 19:49:28		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x26c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x26c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x7f67 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x26c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x7f6f Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xd22b Связанный ИД входа: 0xd247 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xd247 Связанный ИД входа: 0xd22b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xd22b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xd247 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-08 19:49:29		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x7dd1
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x8c0 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 19:49:30		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x8c0 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x604 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x262a4 Связанный ИД входа: 0x263a6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x604 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x263a6 Связанный ИД входа: 0x262a4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x604 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26c53 Связанный ИД входа: 0x26c92 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26c92 Связанный ИД входа: 0x26c53 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x26c92 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x26c53 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x262a4 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x26c53 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x340 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xef4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xef4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 19:49:31		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x548 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 19:49:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:49:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 19:49:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1728 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-08 19:49:32		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1728 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12544	2017-08-08 19:49:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x4a99e Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:49:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-08 19:49:35		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:49:35		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:49:35		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 19:49:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:49:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:49:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:49:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-08 19:49:41		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:49:41		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 19:49:41		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 19:49:41		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:49:41		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:51:06		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:51:06		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:57:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:57:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 19:59:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 19:59:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 19:59:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 19:59:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 19:59:31		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2378 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:01:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:01:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:01:59		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2378 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-08 20:04:32		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x263a6 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1e58 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:09:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:09:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:09:31		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:09:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:09:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:09:34		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2a10 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:14:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:14:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:14:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:14:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:14:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:14:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:14:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:14:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:15:48		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:15:48		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:15:48		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2220 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 20:15:49		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x159c Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13824	2017-08-08 20:15:51		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2220 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:15:55		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:15:55		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12288	2017-08-08 20:16:06		Microsoft-Windows-Security-Auditing	4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x2624 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2017-08-08T17:16:06.176666000Z Новое время: 2017-08-08T17:16:06.176000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
Безопасность	Audit Success	13312	2017-08-08 20:37:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-08 20:37:33		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-08 20:37:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:35		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:35		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xa474 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xa496 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d4 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-08 20:37:36		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa2ff
Безопасность	Audit Success	12544	2017-08-08 20:37:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	101	2017-08-08 20:37:38		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xf827 Связанный ИД входа: 0xf847 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xf847 Связанный ИД входа: 0xf827 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xf827 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xf847 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x938 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 20:37:38		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x938 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 20:37:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 20:37:39		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbc0 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 20:37:39		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbc0 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x29402 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xa58 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x323ba Связанный ИД входа: 0x3242b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa58 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3242b Связанный ИД входа: 0x323ba Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa58 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x32a3b Связанный ИД входа: 0x32a69 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x32a69 Связанный ИД входа: 0x32a3b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x32a69 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x32a3b Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x323ba Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x32a3b Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1a8 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-08 20:37:40		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	12544	2017-08-08 20:37:41		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:41		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 20:37:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x6f4 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 20:37:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 20:37:42		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17dc Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-08 20:37:42		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x17dc Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12544	2017-08-08 20:37:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-08 20:37:44		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 20:37:44		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 20:37:44		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 20:37:44		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:44		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:37:45		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:45		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-08 20:37:51		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 20:37:51		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 20:37:51		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 20:37:51		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:37:51		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:38:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:38:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:40:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:40:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:40:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:40:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:40:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:40:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:42:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:42:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:47:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:47:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:47:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:47:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:47:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 20:47:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:47:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 20:47:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:47:40		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2378 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:47:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:47:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:47:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:47:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:48:50		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2378 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:52:41		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:52:41		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:52:41		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3242b Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1cf0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 20:53:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:53:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 20:57:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 20:57:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 20:57:40		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x198c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-08 20:57:45		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x198c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 21:02:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 21:02:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 21:02:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 21:02:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 21:03:05		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 21:03:05		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 21:11:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 21:11:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 21:11:23		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x25d8 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x500 Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x48c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x55c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_macromed_flash_853cbcf10f17f618.cdf-ms Идентификатор дескриптора: 0x500 Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x48c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_macromed_flash_5ff3bc7496f0271e.cdf-ms Идентификатор дескриптора: 0x55c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\activex.vch Идентификатор дескриптора: 0x560 Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\Flash.ocx Идентификатор дескриптора: 0x500 Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.dll Идентификатор дескриптора: 0x59c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe Идентификатор дескриптора: 0x55c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\activex.vch Идентификатор дескриптора: 0x560 Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\Flash.ocx Идентификатор дескриптора: 0x500 Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\FlashUtil_ActiveX.dll Идентификатор дескриптора: 0x59c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 21:11:25		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Macromed\Flash\FlashUtil_ActiveX.exe Идентификатор дескриптора: 0x55c Сведения о процессе: Идентификатор процесса: 0x18e8 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.15063.410_none_9e914f9d2d85dacb\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	12544	2017-08-08 21:50:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 21:50:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:05:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:05:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:05:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:05:10		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:05:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-08 22:05:25		Microsoft-Windows-Security-Auditing	4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3242b Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Безопасность	Audit Success	12548	2017-08-08 22:05:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-08 22:06:41		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf44 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntoskrnl.exe Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\clfs.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgkrnl.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgmms2.sys Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\tdx.sys Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ime_shared_19ff36aa43ebd16a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ime_shared_res_9e6764b48871dbf2.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ime_imetc_0f296d620e0c52d5.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ime_imetc_applets_4cc083d5c906ff5a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ime_imejp_0f2986100e0c2dc6.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_0307ca33e1cd9708.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingshandlers-nt_7298028ee386990a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingshandlers-nt_pris_71a69ceed5129daa.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_e92250ef2519d1f6.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_0c3414e5ea9b964c.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_d9ae09c5d2ccd3fb.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_9d516b3c2e3e1a84.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_templat_72e2a4dd8431fbed.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_media_fff1539a1a4e3fb7.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_fed525f87d913b20.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_common_9b35fdf5c98f69bb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_css_9d5145ddb46283ae.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_82255765359ba571.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_vi_7e71e645381609fd.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_js_c58adfa13ec3cacc.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_views_f55d581a0acbb522.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_f55759080d09bc14.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_4009_f24be8641cd5eaeb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_1009_f24be8d01cd5e9f8.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c0c_f24bfc161cd5cc82.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c0a_f24bf84a1cd5d234.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c09_f24be91a1cd5e8fc.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_080a_f24bf8341cd5d297.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0809_f24be9041cd5e95f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0804_f24bdf861cd5f79c.cdf-ms Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0416_f24be34a1cd5f20f.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0411_f24bd9cc1cd6004c.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0410_f24bd7e61cd60325.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_040c_f24bfbf81cd5cd09.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0409_f24be8fc1cd5e983.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0407_f24be5301cd5ef35.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_retaildemo_d6007de2c4449ca2.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_pris_4436110b27fc8d08.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs_js_73de36d3c11d462a.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs_js_en-us_597bb9eee315d768.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs_css_ae6e5f1669450b38.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_media_f54b539a0b1cc81a.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_lib_b0f47f90f3500a51.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_js_91283bc423026fc5.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_images_f5434c400d60dd7c.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_fonts_f53d61bc0b5bbe04.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_data_4436285d27fc685e.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_css_b0f49fc4f34fda43.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_443623ff27fc6f6b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_view_c303ad0c866a9c46.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_js_2a738435bdbe8f70.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_js_applaunchers_de40849bf361043c.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_43d095bdcce4e130.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_ru-ru_assets_bc629e859de07b28.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_ru-ru_assets_errorpages_e811dc5dddbbf48e.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_ru-ru_assets_applicationguard_d4e6fb5dd4c21537.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_pris_4719a634d2c04eec.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_f8075bc7ad02362b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_webnotes_febc6b7abccb2874.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_readingview_e64e82231b0e5fce.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_readingview_css_3066d24b0856bea1.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_persona_4fd2132d4ad15439.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_fonts_206f147a74e786c9.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_errorpages_73ec08ffb6105e23.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_bookviewer_990e8d61fcad5c14.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_bookviewer_js_78c5ff49aa9e261b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_bookviewer_css_38b1881b8abcd7a5.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_booklibrary_3e904335483f7fff.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_applicationguard_8359e7f74deb583c.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ru-ru_5b50e7f65fce4fdb.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ime_shared_5a5b3a5824d8fee4.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ime_shared_res_791e6438104a0cf8.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ime_imetc_e3d3eac2a148ee29.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ime_imetc_applets_6d36ac75fb0330ae.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ime_imejp_e3d40370a148c91a.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_drivers_dc1b782427b5ee1b.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_3296b36dbe4c7fa3.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_083d4e330e766c5d.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_46321ba736a30085.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_83386eac0379231b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_c40c7a995ddd757b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_livekernelreports_13126bbee8c1252a.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_3f581daba4c8c835.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_wsearchidxpi_a2c41dc1731a4204.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_wsearchidxpi_0000_2e6e3f1caf9fca20.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugthrsvc_9c5b081f28f83f11.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugthrsvc_0000_8451c300df70be5f.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugatherer_9f1f9c5b6cd50d98.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_ugatherer_0000_046b5203f9ca3f14.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_ime_3f581be9a4c8cabd.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_ime_imetc_0d348c40e45e62ef.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_ime_imetc_help_7cd8fd160d71b81c.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_ime_imetc_dicts_b6bb60758b345dca.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_apppatch_1143992cbbbebcab.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_apppatch_ru-ru_2241de14530ccc00.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_fe5c6d762edd2110.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_cae2264614449191.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wer_temp_783673b09e921b6b.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wer_reportqueue_9ca35f30fc68b178.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_wer_reportarchive_5449504010b82c41.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_storage_health_9e678c58bd8432a1.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_smsrouter_de9db7c47456f048.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_af2ddc54e6a8e491.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_tenantstorage_1bbb9d3dba9fb526.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_softlandingstage_70419bf36c6a48e6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_softlanding_4cba8d6220265950.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_sideload_1bd7d65b4945242a.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_localtracestore_b69b398684e58a86.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_etllogs_ffc0f561f3797ceb.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_etllogs_shutdownlogger_5ca7b57d60632f51.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_etllogs_scenarioshutdownlogger_f2836e137ebe0975.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_etllogs_autologger_91adf7c94bd2d1fa.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_downloadedsettings_f4a4d355cda0ca19.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_downloadedscenarios_995fa01e94b9ae39.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_diagnosis_asimovuploader_0413bca0c3dfdda4.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_ffd0cbfc813cc4f1.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_3e33901162166ae9.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\AppPatch\AcRes.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\AppPatch\ru-RU\AcRes.dll.mui Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\Aspnet_perf.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_wp.exe Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.dll Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Web.ApplicationServices.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Web.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Web.Extensions.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\webengine.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\webengine4.dll Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Aspnet_perf.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_wp.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.dll Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Web.ApplicationServices.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Web.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Web.Extensions.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\webengine.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\webengine4.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\basecsp.dll Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\browserbroker.dll Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakra.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakradiag.dll Идентификатор дескриптора: 0x60 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\configmanager2.dll Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\coredpus.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DeviceEnroller.exe Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\diagtrack.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmcsps.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmenrollengine.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dmenterprisediagnostics.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DWWIN.EXE Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\edgehtml.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\enterprisecsps.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Faultrep.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fdeploy.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ieframe.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ieproxy.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iertutil.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jscript9.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jscript9diag.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mdmregistration.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mshtml.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msIso.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msv1_0.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ncryptprov.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OneCoreUAPCommonProxyStub.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\policymanager.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\policymanagerprecheck.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\profsvcext.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\scksp.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_nt.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SmsRouterSvc.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\srvsvc.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sscore.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tokenbinding.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TokenBroker.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tquery.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\urlmon.dll Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wer.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\werconcpl.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wercplsupport.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WerFault.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WerFaultSecure.exe Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wermgr.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wersvc.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\werui.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32kbase.sys Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32kfull.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Data.Pdf.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.Resources.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsqmcons.exe Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WWAHost.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wwansvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\vmbkmcl.sys Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\vmbkmclr.sys Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\IMJPAPI.DLL Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\IMJPCMLD.DLL Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\IMJPDCTP.DLL Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\IMJPLMP.DLL Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\IMJPTIP.DLL Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\imjpuexc.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMEJP\imjputyc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMETC\IMTCCORE.DLL Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMETC\IMTCTIP.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\IMETC\imtcui.DLL Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\SHARED\ImeBroker.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\SHARED\imecfm.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\SHARED\IMEPADSM.DLL Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\SHARED\IMEWDBLD.EXE Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IME\SHARED\MSCAND20.DLL Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\dmenterprisediagnostics.dll.mui Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\EdgeContent.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\eModel.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\resources.pri Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer\js\bookviewer.js Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\ErrorPages\dnserror.html Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\ru-RU\assets\ErrorPages\dnserror.html Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\webapps\inclusiveOobe\js\oobelocalaccount-vm.js Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\basecsp.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakra.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakradiag.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DWWIN.EXE Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\edgehtml.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Faultrep.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fdeploy.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ieframe.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ieproxy.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iertutil.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\jscript9.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msexcl40.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mshtml.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msIso.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjet40.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjetoledb40.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjint40.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjter40.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjtes40.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msltus40.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mspbde40.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msrd2x40.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msrd3x40.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msrepl40.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mstext40.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msv1_0.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mswdat10.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mswstr10.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msxbde40.dll Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ncryptprov.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\policymanager.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\scksp.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\sscore.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tokenbinding.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TokenBroker.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tquery.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\urlmon.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wer.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WerFault.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WerFaultSecure.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wermgr.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\werui.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32kfull.sys Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Data.Pdf.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Internal.Management.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.Resources.dll Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WWAHost.exe Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\IMJPAPI.DLL Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\IMJPCMLD.DLL Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\IMJPDCTP.DLL Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\IMJPLMP.DLL Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\IMJPTIP.DLL Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\imjpuexc.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMEJP\imjputyc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMETC\IMTCCORE.DLL Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMETC\IMTCTIP.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\IMETC\imtcui.DLL Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\SHARED\imecfm.dll Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\SHARED\IMEPADSM.DLL Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\SHARED\IMEWDBLD.EXE Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	13568	2017-08-08 22:06:42		Microsoft-Windows-Security-Auditing	4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IME\SHARED\MSCAND20.DLL Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1a84 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AI Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Безопасность	Audit Success	103	2017-08-08 22:06:51		Microsoft-Windows-Eventlog	1100: Служба ведения журнала событий завершила работу.
Безопасность	Audit Success	13312	2017-08-08 22:07:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 22:07:07		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-08 22:07:07		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-08 22:07:08		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d0 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 22:07:09		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x204 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	13312	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x25c Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x26c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x25c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b0 Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-08 22:07:10		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b8 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x308 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x7f21 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x7f19 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x264 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x308 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xc7d3 Связанный ИД входа: 0xc7f1 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xc7f1 Связанный ИД входа: 0xc7d3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x308 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xc7d3 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xc7f1 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-08 22:07:11		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x7d80
Безопасность	Audit Success	12544	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x940 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 22:07:12		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x940 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x1f3c1 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x808 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-08 22:07:13		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x808 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-08 22:07:14		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 22:07:14		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-08 22:07:14		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-08 22:07:15		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:15		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:07:16		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:16		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:07:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xa0c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3cc04 Связанный ИД входа: 0x3cc3e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa0c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3cc3e Связанный ИД входа: 0x3cc04 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa0c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2b8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3ceda Связанный ИД входа: 0x3cf08 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3cf08 Связанный ИД входа: 0x3ceda Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3cf08 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3ceda Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x3cc04 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x3ceda Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x33c Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-08 22:07:19		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x654 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-08 22:07:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-08 22:07:21		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x18f4 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-08 22:07:21		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x18f4 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12290	2017-08-08 22:07:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 22:07:22		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 22:07:22		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-08 22:07:29		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 22:07:29		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-08 22:07:29		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-08 22:07:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:07:29		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:11:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:11:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:16:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:16:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:17:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:17:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:17:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:17:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 22:17:13		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x770 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-08 22:17:17		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x770 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 22:17:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:17:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 22:17:30		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1ed0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-08 22:17:32		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1ed0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 22:22:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:22:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 22:22:19		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cc3e Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1708 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-08 22:22:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:22:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-08 22:27:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-08 22:27:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-08 22:27:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-08 22:27:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-08 22:27:14		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1ff0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-08 22:27:16		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1ff0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 00:07:12		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 00:07:12		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 00:07:13		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 00:07:13		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 00:11:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 00:11:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 02:38:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 02:38:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 02:38:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 02:38:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 02:38:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 02:38:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 02:38:59		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 02:38:59		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 02:39:16		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 02:39:16		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 04:02:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 04:02:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 04:22:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 04:22:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 04:57:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 04:57:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 08:46:55		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3cc3e Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0xc3c Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 08:52:18		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x870 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13312	2017-08-09 08:56:31		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:31		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-09 08:56:31		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-09 08:56:32		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:32		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x204 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x25c Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x264 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1fc Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x26c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x25c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b0 Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 08:56:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d4 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x264 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	101	2017-08-09 08:56:34		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12288	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x972c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x264 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x9754 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xeae9 Связанный ИД входа: 0xeb07 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xeb07 Связанный ИД входа: 0xeae9 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x320 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xeae9 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xeb07 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x95b5
Безопасность	Audit Success	13826	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x898 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 08:56:34		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x898 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 08:56:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x24596 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc64 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 08:56:36		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc64 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x994 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x28e62 Связанный ИД входа: 0x28e90 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x994 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x28e90 Связанный ИД входа: 0x28e62 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x994 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x29601 Связанный ИД входа: 0x29646 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x29646 Связанный ИД входа: 0x29601 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x29646 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x29601 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x28e62 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x29601 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x198 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-09 08:56:37		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x710 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 08:56:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 08:56:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 08:56:40		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1410 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-09 08:56:40		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1410 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12290	2017-08-09 08:56:48		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-09 08:56:48		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 08:56:48		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 08:56:48		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 08:56:48		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 08:56:48		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-09 08:56:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 08:56:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 08:56:54		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:56:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 08:56:54		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 08:57:24		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:57:24		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 08:59:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 08:59:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	103	2017-08-09 09:02:11		Microsoft-Windows-Eventlog	1100: Служба ведения журнала событий завершила работу.
Безопасность	Audit Success	12545	2017-08-09 09:02:11		Microsoft-Windows-Security-Auditing	4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x28e90 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Безопасность	Audit Success	13312	2017-08-09 09:02:26		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 09:02:26		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x194 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-09 09:02:26		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-09 09:02:27		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1d4 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 09:02:28		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	13312	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1d4 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 09:02:29		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2bc Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x7f66 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x7f72 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xd25d Связанный ИД входа: 0xd279 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xd279 Связанный ИД входа: 0xd25d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xd25d Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xd279 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13568	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x7dc8
Безопасность	Audit Success	13826	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x88c Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 09:02:30		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x88c Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5bc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x22e26 Связанный ИД входа: 0x22e52 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5bc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x22e52 Связанный ИД входа: 0x22e26 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5bc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2bc Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x23114 Связанный ИД входа: 0x23158 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2bc Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x23158 Связанный ИД входа: 0x23114 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2bc Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x23158 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x23114 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x22e26 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x23114 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x354 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4ac Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf24 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 09:02:31		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf24 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-09 09:02:32		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 09:02:32		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 09:02:32		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 09:02:32		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-09 09:02:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:02:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 09:02:33		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1778 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-09 09:02:33		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1778 Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12544	2017-08-09 09:02:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x489b2 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:02:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:02:50		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:50		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:02:51		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:02:51		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:03:47		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:03:47		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:03:52		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:03:52		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:07:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:07:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:12:07		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:12:07		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:12:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:12:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:12:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:12:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 09:12:31		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x298c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 09:12:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:12:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 09:12:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:12:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 09:12:36		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x298c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-09 09:15:11		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22e52 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-09 09:15:11		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22e52 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: defaultuser0 Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-09 09:15:11		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22e52 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-09 09:15:11		Microsoft-Windows-Security-Auditing	4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22e52 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-PR7DC6K Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-PR7DC6K
Безопасность	Audit Success	13824	2017-08-09 09:15:11		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22e52 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1424 Имя процесса: C:\Windows\explorer.exe
Безопасность	Audit Success	12544	2017-08-09 09:16:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:16:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 09:17:31		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22e52 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1a4c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 09:22:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 09:22:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 09:22:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 09:22:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 09:22:32		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x21a0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-09 09:22:36		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x21a0 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 10:27:31		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 10:27:31		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 13:06:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 13:06:17		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 13:06:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 13:06:17		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 14:15:18		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 14:15:18		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 15:00:30		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-09 15:00:33		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x53c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 15:35:01		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 15:35:01		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x3eab55 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x3eb24e Связанный ИД входа: 0x3eb276 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x3eb276 Связанный ИД входа: 0x3eb24e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x3eb24e Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 15:35:43		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x3eb276 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12545	2017-08-09 15:35:44		Microsoft-Windows-Security-Auditing	4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x22e52 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Безопасность	Audit Success	12545	2017-08-09 15:35:44		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xd279 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 15:35:44		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xd25d Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 15:35:44		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host Код входа: 0x7f72 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12544	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5bc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3fbc8a Связанный ИД входа: 0x3fbcbb Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5bc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3fbcbb Связанный ИД входа: 0x3fbc8a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5bc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2bc Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3fbee8 Связанный ИД входа: 0x3fbf2f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2bc Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x3fbf2f Связанный ИД входа: 0x3fbee8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2bc Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3fbf2f Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x3fbee8 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x3fbc8a Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x3fbee8 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x28f4 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-09 16:40:33		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4ac Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 16:40:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:40:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:40:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:40:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:40:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:40:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0x3fbcbb Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0x3fbcbb Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\brosc\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Идентификатор входа в систему: 0x3fbcbb Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:40:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 16:42:40		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3fbcbb Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2110 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-09 16:45:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:45:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:46:27		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:46:27		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:46:30		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:46:30		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:46:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:46:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 16:55:35		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x3fbcbb Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x208c Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13312	2017-08-09 16:57:31		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x174 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:31		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x174 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-09 16:57:31		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-09 16:57:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1f0 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x174 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:33		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1fc Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1f0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x258 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x8633 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x258 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x86c2 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x250 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x174 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x258 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x1f0 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x250 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2a4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c4 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x258 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-09 16:57:34		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x82f3
Безопасность	Audit Success	101	2017-08-09 16:57:35		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xdaff Связанный ИД входа: 0xdb1b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xdb1b Связанный ИД входа: 0xdaff Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xdaff Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xdb1b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x22629 Связанный ИД входа: 0x22655 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x22655 Связанный ИД входа: 0x22629 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2c4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x22860 Связанный ИД входа: 0x2288e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2288e Связанный ИД входа: 0x22860 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c4 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x2288e Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x22860 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x22629 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x22860 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x180 Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xb00 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xb00 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe48 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 16:57:36		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xe48 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 16:57:37		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 16:57:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:57:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x42452 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	13826	2017-08-09 16:57:39		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x174c Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-09 16:57:39		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x174c Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12544	2017-08-09 16:57:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:57:45		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:45		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-09 16:57:48		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-09 16:57:48		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 16:57:48		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 16:57:48		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 16:57:48		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 16:57:48		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-09 16:57:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 16:57:49		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 16:57:49		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 16:57:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 16:57:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:02:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:02:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:05:35		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:05:35		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:06:33		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:06:33		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:07:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:07:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:07:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:07:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:07:37		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x27d4 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-09 17:08:20		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x27d4 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 17:12:38		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:12:38		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:12:38		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22655 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x28ac Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 17:12:40		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:12:40		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:17:04		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:17:04		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:08		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:10		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	12544	2017-08-09 17:17:11		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:17:11		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x22629 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf3c Имя процесса: C:\Windows\System32\dllhost.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13826	2017-08-09 17:17:14		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe
Безопасность	Audit Success	13568	2017-08-09 17:17:19		Microsoft-Windows-Security-Auditing	4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x322a35
Безопасность	Audit Success	13568	2017-08-09 17:17:19		Microsoft-Windows-Security-Auditing	4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0xf34 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x322a35
Безопасность	Audit Success	12544	2017-08-09 17:17:37		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:17:37		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:17:37		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	13824	2017-08-09 17:18:34		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1198 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 17:22:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:22:39		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2a4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:22:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:22:39		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-09 17:25:15		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:15		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x190 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13573	2017-08-09 17:25:15		Microsoft-Windows-Security-Auditing	4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
Безопасность	Audit Success	13312	2017-08-09 17:25:17		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x200 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:18		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x200 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	12288	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x328 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x86dd Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x86c5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x328 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xdbe6 Связанный ИД входа: 0xdc03 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xdc03 Связанный ИД входа: 0xdbe6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x328 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xdbe6 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xdc03 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13312	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x260 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x200 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x260 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2b4 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13312	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
Безопасность	Audit Success	13568	2017-08-09 17:25:19		Microsoft-Windows-Security-Auditing	4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x83af
Безопасность	Audit Success	101	2017-08-09 17:25:20		Microsoft-Windows-Eventlog	1101: События аудита были отклонены транспортом. 0
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa64 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 17:25:20		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa64 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x260f8 Связанный ИД входа: 0x2617d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 11 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x2617d Связанный ИД входа: 0x260f8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26b38 Связанный ИД входа: 0x26b71 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 7 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount ИД входа: 0x26b71 Связанный ИД входа: 0x26b38 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\lsass.exe Сведения о сети: Имя рабочей станции: DESKTOP-PR7DC6K Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Negotiat Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12545	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x26b71 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12545	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Код входа: 0x26b38 Тип входа: 7 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x260f8 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: broscompanychannel@gmail.com Домен учетной записи: MicrosoftAccount Код входа: 0x26b38 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1ac Имя процесса: C:\Windows\System32\LogonUI.exe
Безопасность	Audit Success	13824	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13824	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4738: Изменена учетная запись пользователя. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Целевая учетная запись: Идентификатор безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Измененные атрибуты: Имя учетной записи SAM: - Отображаемое имя: Александр Засовин Основное имя пользователя: - Домашний каталог: - Домашний диск: - Путь к сценарию: - Путь к профилю: - Рабочие станции пользователя: - Последний пароль задан: - Срок действия учетной записи истекает: - Идентификатор основной группы: - Разрешено делегировать: - Старое значение UAC: - Новое значение UAC: - Управление учетной записью пользователя: - Параметры пользователя: - Журнал SID: - Часы входа: - Дополнительные сведения: Привилегии: -
Безопасность	Audit Success	13826	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc60 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 17:25:21		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc60 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Failure	12290	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Failure	12290	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: DE4DDCFF-CC80-4BAC-9160-FFE07B4FB240 Тип ключа: %%2499 Операция шифрования: Операция: %%2480 Код возврата: 0x80090016
Безопасность	Audit Success	12544	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 17:25:22		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x548 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 17:25:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 3 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY ИД входа: 0x45caa Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:25:23		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:23		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 17:25:24		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x168c Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	13826	2017-08-09 17:25:24		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x168c Имя процесса: C:\Windows\System32\SearchIndexer.exe
Безопасность	Audit Success	12544	2017-08-09 17:25:25		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:25		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:25:28		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:28		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12290	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12290	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\5c4e1440d47807ef5e67c68125f9e230_6ecdf45e-0dec-4f13-806d-8effdd41eff2 Операция: %%2458 Код возврата: 0x0
Безопасность	Audit Success	12292	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: 388b58048225cdd8 Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
Безопасность	Audit Success	12544	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:32		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:25:34		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:34		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12544	2017-08-09 17:25:42		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:25:42		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:26:36		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K ИД входа: 0x2617d Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x2444 Имя процесса: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Безопасность	Audit Success	12544	2017-08-09 17:31:56		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:31:56		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13826	2017-08-09 17:31:58		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c68 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	13826	2017-08-09 17:31:58		Microsoft-Windows-Security-Auditing	4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c68 Имя процесса: C:\Windows\System32\svchost.exe
Безопасность	Audit Success	12544	2017-08-09 17:35:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12544	2017-08-09 17:35:21		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:35:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	12548	2017-08-09 17:35:21		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:35:21		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1fa8 Имя процесса: C:\Windows\System32\taskhostw.exe
Безопасность	Audit Success	12544	2017-08-09 17:35:22		Microsoft-Windows-Security-Auditing	4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2b4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Безопасность	Audit Success	12548	2017-08-09 17:35:22		Microsoft-Windows-Security-Auditing	4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Безопасность	Audit Success	13824	2017-08-09 17:35:26		Microsoft-Windows-Security-Auditing	4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-PR7DC6K$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-4194021044-959331188-662113642-1001 Имя учетной записи: brosc Домен учетной записи: DESKTOP-PR7DC6K Сведения о процессе: ИД процесса: 0x1fa8 Имя процесса: C:\Windows\System32\taskhostw.exe
Система	Ошибка	Нет	2017-08-07 04:25:21		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Ошибка	Нет	2017-08-07 04:25:21		Service Control Manager	7023: Служба "iphlpsvc" завершена из-за ошибки %%1058
Система	Ошибка	Нет	2017-08-07 04:27:10		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	212	2017-08-07 04:27:10	СИСТЕМА	Microsoft-Windows-Kernel-PnP	219: Сбой загрузки драйвера \Driver\WudfRd для устройства SWD\WPDBUSENUM\_??_USBSTOR#Disk&Ven_Generic&Prod_Flash_Disk&Rev_8.07#EDB035AB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}.
Система	Ошибка	Нет	2017-08-07 04:27:52		NETLOGON	3095: Этот компьютер является членом рабочей группы, а не домена. В данном случае нет необходимости запускать службу Netlogon.
Система	Ошибка	Нет	2017-08-07 04:27:56		Service Control Manager	7024: Служба "BranchCache" завершена из-за следующей внутренней ошибки: %%1260
Система	Ошибка	Нет	2017-08-07 04:29:11		Service Control Manager	7030: Служба "Printer Extensions and Notifications" помечена как интерактивная, но в конфигурации системы такие службы не разрешены. Служба может работать неправильно.
Система	Внимание	1014	2017-08-07 04:33:00	NETWORK SERVICE	Microsoft-Windows-DNS-Client	1014: Разрешение имен для имени rtd.tubemogul.com истекло после отсутствия ответа от настроенных серверов DNS.
Система	Ошибка	1	2017-08-07 04:34:39	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80070103: NVIDIA - Display - 5/1/2017 12:00:00 AM - 22.21.13.8205.
Система	Ошибка	Нет	2017-08-07 12:54:10	LOCAL SERVICE	DCOM	10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Система	Ошибка	Нет	2017-08-07 12:54:10	LOCAL SERVICE	DCOM	10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Система	Ошибка	Нет	2017-08-07 12:54:10	LOCAL SERVICE	DCOM	10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} и APPID {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Система	Ошибка	Нет	2017-08-07 12:54:10	LOCAL SERVICE	DCOM	10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю NT AUTHORITY\LOCAL SERVICE с ИД безопасности (S-1-5-19) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Система	Внимание	1014	2017-08-07 12:56:03	NETWORK SERVICE	Microsoft-Windows-DNS-Client	1014: Разрешение имен для имени 7.tlu.dl.delivery.mp.microsoft.com истекло после отсутствия ответа от настроенных серверов DNS.
Система	Ошибка	Нет	2017-08-07 13:13:52		EventLog	6008: Предыдущее завершение работы системы в 4:27:10 на ?07.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-07 13:13:52		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	1014	2017-08-07 13:14:36	NETWORK SERVICE	Microsoft-Windows-DNS-Client	1014: Разрешение имен для имени tags.bluekai.com истекло после отсутствия ответа от настроенных серверов DNS.
Система	Ошибка	Нет	2017-08-07 13:25:09		EventLog	6008: Предыдущее завершение работы системы в 13:13:52 на ?07.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-07 13:25:09		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Ошибка	Нет	2017-08-07 13:25:10		BugCheck	1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000000a (0x000000000082005f, 0x0000000000000002, 0x0000000000000001, 0xfffff8021066a22d). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: a8c70d11-8aef-4b77-9d08-7f8f1c811c45.
Система	Ошибка	Нет	2017-08-07 13:25:18		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Ошибка	Нет	2017-08-07 13:26:24		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Внимание	1014	2017-08-07 13:27:13	NETWORK SERVICE	Microsoft-Windows-DNS-Client	1014: Разрешение имен для имени tags.bluekai.com истекло после отсутствия ответа от настроенных серверов DNS.
Система	Ошибка	Нет	2017-08-07 13:35:46		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Ошибка	Нет	2017-08-07 14:49:07		EventLog	6008: Предыдущее завершение работы системы в 13:25:09 на ?07.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-07 14:49:07		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Ошибка	Нет	2017-08-07 14:49:15		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Внимание	1014	2017-08-07 15:06:26	NETWORK SERVICE	Microsoft-Windows-DNS-Client	1014: Разрешение имен для имени tags.bluekai.com истекло после отсутствия ответа от настроенных серверов DNS.
Система	Ошибка	1	2017-08-08 19:39:14	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Store.
Система	Ошибка	1	2017-08-08 19:39:23	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Windows Alarms & Clock.
Система	Ошибка	Нет	2017-08-08 19:44:00	СИСТЕМА	DCOM	10010: Регистрация сервера {E60687F7-01A1-40AA-86AC-DB1CBF673334} DCOM не выполнена за отведенное время ожидания.
Система	Ошибка	Нет	2017-08-08 19:46:39		EventLog	6008: Предыдущее завершение работы системы в 19:45:12 на ?08.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-08 19:46:39		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Ошибка	Нет	2017-08-08 19:46:41		BugCheck	1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x000000f7 (0x0000280118ca59d0, 0x00006ef84f852c61, 0xffff9107b07ad39e, 0x0000000000000000). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: b4454c7f-7892-4cf9-8dc0-a49e6edc6bb8.
Система	Внимание	Нет	2017-08-08 19:48:16		MEIx64	4: Системе не удается открыть файл.
Система	Ошибка	Нет	2017-08-08 19:49:29		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	212	2017-08-08 19:49:29	СИСТЕМА	Microsoft-Windows-Kernel-PnP	219: Сбой загрузки драйвера \Driver\WudfRd для устройства SWD\WPDBUSENUM\{2357b302-7c59-11e7-97a0-309c230cf331}#0000000000100000.
Система	Ошибка	Нет	2017-08-08 20:37:38		EventLog	6008: Предыдущее завершение работы системы в 20:29:29 на ?08.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-08 20:37:38		BugCheck	1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000001a (0x0000000000000403, 0xffff9b0170ae4a18, 0x80000003059cec66, 0xffff9b1170ae4a18). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: b637d51c-4202-468e-b169-800cbffa9957.
Система	Ошибка	Нет	2017-08-08 20:37:38		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	212	2017-08-08 20:37:38	СИСТЕМА	Microsoft-Windows-Kernel-PnP	219: Сбой загрузки драйвера \Driver\WudfRd для устройства SWD\WPDBUSENUM\{2357b302-7c59-11e7-97a0-309c230cf331}#0000000000100000.
Система	Ошибка	Нет	2017-08-08 22:06:12		Service Control Manager	7043: Служба "Update Orchestrator Service" не завершила работу должным образом после получения управления для выполнения предзавершающих операций.
Система	Ошибка	Нет	2017-08-08 22:07:11		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	212	2017-08-08 22:07:11	СИСТЕМА	Microsoft-Windows-Kernel-PnP	219: Сбой загрузки драйвера \Driver\WudfRd для устройства SWD\WPDBUSENUM\{2357b302-7c59-11e7-97a0-309c230cf331}#0000000000100000.
Система	Ошибка	1	2017-08-09 02:39:15	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Windows Alarms & Clock.
Система	Ошибка	1	2017-08-09 02:40:03	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Store.
Система	Ошибка	1	2017-08-09 02:40:08	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Skype.
Система	Ошибка	Нет	2017-08-09 08:56:34		EventLog	6008: Предыдущее завершение работы системы в 8:47:11 на ?09.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-09 08:56:34		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	212	2017-08-09 08:56:34	СИСТЕМА	Microsoft-Windows-Kernel-PnP	219: Сбой загрузки драйвера \Driver\WudfRd для устройства SWD\WPDBUSENUM\{2357b302-7c59-11e7-97a0-309c230cf331}#0000000000100000.
Система	Ошибка	Нет	2017-08-09 08:56:36		BugCheck	1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000133 (0x0000000000000001, 0x0000000000001e00, 0xfffff800491ed348, 0x0000000000000000). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: e229a09b-b455-45d3-a3c7-bc8e907bdfa4.
Система	Ошибка	Нет	2017-08-09 09:02:30		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Внимание	212	2017-08-09 09:02:30	СИСТЕМА	Microsoft-Windows-Kernel-PnP	219: Сбой загрузки драйвера \Driver\WudfRd для устройства SWD\WPDBUSENUM\{2357b302-7c59-11e7-97a0-309c230cf331}#0000000000100000.
Система	Ошибка	Нет	2017-08-09 09:02:52		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Ошибка	1	2017-08-09 09:03:52	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Windows Alarms & Clock.
Система	Ошибка	1	2017-08-09 09:03:57	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Store.
Система	Ошибка	1	2017-08-09 09:04:03	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Skype.
Система	Ошибка	1	2017-08-09 16:46:40	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Skype.
Система	Ошибка	1	2017-08-09 16:46:45	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Windows Alarms & Clock.
Система	Ошибка	1	2017-08-09 16:46:45	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Store.
Система	Ошибка	Нет	2017-08-09 16:57:35		EventLog	6008: Предыдущее завершение работы системы в 16:47:16 на ?09.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-09 16:57:35		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Ошибка	Нет	2017-08-09 16:57:38		BugCheck	1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000000a (0x00000000b46b000f, 0x0000000000000002, 0x0000000000000001, 0xfffff8030386ac94). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: f0e9da44-9b0f-4cbe-a7e7-2c5bb1edd2de.
Система	Ошибка	Нет	2017-08-09 16:57:47		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Ошибка	1	2017-08-09 16:57:58	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Store.
Система	Ошибка	1	2017-08-09 16:58:04	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Skype.
Система	Ошибка	1	2017-08-09 16:58:04	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Windows Alarms & Clock.
Система	Ошибка	Нет	2017-08-09 17:25:19		EventLog	6008: Предыдущее завершение работы системы в 16:57:35 на ?09.?08.?2017 было неожиданным.
Система	Ошибка	Нет	2017-08-09 17:25:19		Service Control Manager	7000: Сбой при запуске службы "CldFlt" из-за ошибки %%50
Система	Ошибка	Нет	2017-08-09 17:25:20		BugCheck	1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000001a (0x0000000000000404, 0xffffae7340b74f90, 0x8000000305a0e963, 0xffffae6340b74f90). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: bf5f2a56-2bd9-4626-bb24-95fcd333faf5.
Система	Ошибка	Нет	2017-08-09 17:25:29		Service Control Manager	7024: Служба "aswbIDSAgent" завершена из-за следующей внутренней ошибки: %%3758213661
Система	Ошибка	1	2017-08-09 17:25:49	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Skype.
Система	Ошибка	1	2017-08-09 17:25:54	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Store.
Система	Ошибка	1	2017-08-09 17:25:54	СИСТЕМА	Microsoft-Windows-WindowsUpdateClient	20: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x80073d0a: Windows Alarms & Clock.

The names of actual companies and products mentioned herein may be the trademarks of their respective owners.