Anmelde-GUID: { }

Transkript

1 Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :28:07 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM DIRK-PC$ WORKGROUP 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Anmelde-GUID: { }

2 Prozessinformationen: Prozess-ID: Prozessname: 0x1d4 C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: Advapi Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das

3 angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:28: Z" /> <EventRecordID>7575</EventRecordID> <Correlation />

4 <Execution ProcessID="484" ThreadID="636" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="TargetUserSid">S </Data> <Data Name="TargetUserName">SYSTEM</Data> <Data Name="TargetDomainName">NT-AUTORITÄT</Data> <Data Name="TargetLogonId">0x3e7</Data> <Data Name="LogonType">5</Data> <Data Name="LogonProcessName">Advapi </Data> <Data Name="AuthenticationPackageName">Negotiate</Data> <Data Name="WorkstationName"> </Data> <Data Name="LogonGuid">{ }</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x1d4</Data> <Data Name="ProcessName">C:\Windows\System32\services.exe</Data> <Data Name="IpAddress">-</Data>

5 <Data Name="IpPort">-</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :28:07 Ereignis-ID: 4672 Aufgabenkategorie:Spezielle Anmeldung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege

6 SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:28: Z" /> <EventRecordID>7576</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="636" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System>

7 <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :02:51 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich

8 Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM DIRK-PC$ WORKGROUP 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Anmelde-GUID: { } Prozessinformationen: Prozess-ID: Prozessname: 0x1d4 C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname:

9 Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: Advapi Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses

10 Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:02: Z" /> <EventRecordID>7573</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="532" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data>

11 <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="TargetUserSid">S </Data> <Data Name="TargetUserName">SYSTEM</Data> <Data Name="TargetDomainName">NT-AUTORITÄT</Data> <Data Name="TargetLogonId">0x3e7</Data> <Data Name="LogonType">5</Data> <Data Name="LogonProcessName">Advapi </Data> <Data Name="AuthenticationPackageName">Negotiate</Data> <Data Name="WorkstationName"> </Data> <Data Name="LogonGuid">{ }</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x1d4</Data> <Data Name="ProcessName">C:\Windows\System32\services.exe</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :02:51

12 Ereignis-ID: 4672 Aufgabenkategorie:Spezielle Anmeldung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

13 Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:02: Z" /> <EventRecordID>7574</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="532" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege SeTcbPrivilege

14 SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :01:44 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: SYSTEM

15 Kontoname: DIRK-PC$ Kontodomäne: Anmelde-ID: WORKGROUP 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Anmelde-GUID: { } Prozessinformationen: Prozess-ID: Prozessname: 0x1d4 C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: Advapi Negotiate Übertragene Dienste: -

16 Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns="

17 <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:01: Z" /> <EventRecordID>7571</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="532" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="TargetUserSid">S </Data> <Data Name="TargetUserName">SYSTEM</Data> <Data Name="TargetDomainName">NT-AUTORITÄT</Data> <Data Name="TargetLogonId">0x3e7</Data>

18 <Data Name="LogonType">5</Data> <Data Name="LogonProcessName">Advapi </Data> <Data Name="AuthenticationPackageName">Negotiate</Data> <Data Name="WorkstationName"> </Data> <Data Name="LogonGuid">{ }</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x1d4</Data> <Data Name="ProcessName">C:\Windows\System32\services.exe</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :01:44 Ereignis-ID: 4672 Aufgabenkategorie:Spezielle Anmeldung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung:

19 Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version>

20 <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:01: Z" /> <EventRecordID>7572</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="532" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege

21 SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :01:15 Ereignis-ID: 5058 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM DIRK-PC$ WORKGROUP 0x3e7 Kryptografische Parameter: Anbietername: Algorithmusname: Microsoft Software Key Storage Provider Nicht verfügbar.

22 Schlüsselname: {F2EDD92C-8C BBE4-93F00DCDE510} Schlüsseltyp: Computerschlüssel. Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\8d6621c8b0a48bfeb33ff7474caa8483_cd4a1a2f-bef8-4 51f-b7cd-1112d16ac9e8 Vorgang: Persistenten Schlüssel aus Datei lesen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5058</EventID> <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:01: Z" /> <EventRecordID>7569</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="532" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security />

23 </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">%%2432</Data> <Data Name="KeyName">{F2EDD92C-8C BBE4-93F00DCDE510}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\Keys\8d6621c8b0a48bfeb33ff7474caa8483_cd 4a1a2f-bef8-451f-b7cd-1112d16ac9e8</Data> <Data Name="Operation">%%2458</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :01:15 Ereignis-ID: 5061 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc

24 Beschreibung: Kryptografievorgang. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: DIRK-PC$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {F2EDD92C-8C BBE4-93F00DCDE510} Schlüsseltyp: Computerschlüssel. Kryptografischer Vorgang: Vorgang: Schlüssel öffnen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5061</EventID> <Version>0</Version> <Level>0</Level>

25 <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:01: Z" /> <EventRecordID>7570</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="532" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">RSA</Data> <Data Name="KeyName">{F2EDD92C-8C BBE4-93F00DCDE510}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="Operation">%%2480</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security

26 Quelle: Microsoft-Windows-Security-Auditing Datum: :00:15 Ereignis-ID: 5056 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Ein Kryptografieselbsttest wurde ausgeführt. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM DIRK-PC$ WORKGROUP 0x3e7 Modul: ncrypt.dll Rückgabecode: 0x0 Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5056</EventID>

27 <Version>0</Version> <Level>0</Level> <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:00: Z" /> <EventRecordID>7566</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="2996" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="Module">ncrypt.dll</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :00:15

28 Ereignis-ID: 5058 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM DIRK-PC$ WORKGROUP 0x3e7 Kryptografische Parameter: Anbietername: Algorithmusname: Microsoft Software Key Storage Provider Nicht verfügbar. Schlüsselname: {F2EDD92C-8C BBE4-93F00DCDE510} Schlüsseltyp: Computerschlüssel. Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\8d6621c8b0a48bfeb33ff7474caa8483_cd4a1a2f-bef8-4 51f-b7cd-1112d16ac9e8 Vorgang: Persistenten Schlüssel aus Datei lesen. Rückgabecode: 0x0

29 Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5058</EventID> <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:00: Z" /> <EventRecordID>7567</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="520" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">%%2432</Data>

30 <Data Name="KeyName">{F2EDD92C-8C BBE4-93F00DCDE510}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\Keys\8d6621c8b0a48bfeb33ff7474caa8483_cd 4a1a2f-bef8-451f-b7cd-1112d16ac9e8</Data> <Data Name="Operation">%%2458</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :00:15 Ereignis-ID: 5061 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Kryptografievorgang. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: DIRK-PC$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7

31 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {F2EDD92C-8C BBE4-93F00DCDE510} Schlüsseltyp: Computerschlüssel. Kryptografischer Vorgang: Vorgang: Schlüssel öffnen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5061</EventID> <Version>0</Version> <Level>0</Level> <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:00: Z" /> <EventRecordID>7568</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="520" /> <Channel>Security</Channel>

32 <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">DIRK-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">RSA</Data> <Data Name="KeyName">{F2EDD92C-8C BBE4-93F00DCDE510}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="Operation">%%2480</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :00:02 Ereignis-ID: 5058 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc

33 Beschreibung: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: LOKALER DIENST LOKALER DIENST NT-AUTORITÄT 0x3e5 Kryptografische Parameter: Anbietername: Algorithmusname: Microsoft Software Key Storage Provider Nicht verfügbar. Schlüsselname: 5b625acd-728d-44ed-966d-db6c0c46d72a Schlüsseltyp: Computerschlüssel. Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b d477695bbb0f1b07f3af8ee3_cd 4a1a2f-bef8-451f-b7cd-1112d16ac9e8 Vorgang: Persistenten Schlüssel aus Datei lesen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5058</EventID>

34 <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:00: Z" /> <EventRecordID>7564</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="636" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">LOKALER DIENST</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e5</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">%%2432</Data> <Data Name="KeyName">5b625acd-728d-44ed-966d-db6c0c46d72a</Data> <Data Name="KeyType">%%2499</Data> <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\b d477695bbb0f1b0 7f3af8ee3_cd4a1a2f-bef8-451f-b7cd-1112d16ac9e8</Data> <Data Name="Operation">%%2458</Data> <Data Name="ReturnCode">0x0</Data>

35 </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :00:02 Ereignis-ID: 5061 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Kryptografievorgang. Antragsteller: Sicherheits-ID: LOKALER DIENST Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 5b625acd-728d-44ed-966d-db6c0c46d72a Schlüsseltyp: Computerschlüssel.

36 Kryptografischer Vorgang: Vorgang: Schlüssel öffnen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA-3E3B0328C30D}" /> <EventID>5061</EventID> <Version>0</Version> <Level>0</Level> <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T07:00: Z" /> <EventRecordID>7565</EventRecordID> <Correlation /> <Execution ProcessID="484" ThreadID="636" /> <Channel>Security</Channel> <Computer>dirk-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">LOKALER DIENST</Data>

37 <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e5</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">RSA</Data> <Data Name="KeyName">5b625acd-728d-44ed-966d-db6c0c46d72a</Data> <Data Name="KeyType">%%2499</Data> <Data Name="Operation">%%2480</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :59:48 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend dirk-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: Kontoname: SYSTEM DIRK-PC$

38 Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Anmelde-GUID: { } Prozessinformationen: Prozess-ID: Prozessname: 0x1d4 C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: Advapi Negotiate Übertragene Dienste: - Paketname (nur NTLM): -

39 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns=" <System>