<Event xmlns="

Transkript

1 Protokollname: Security Quelle: Microsoft-Windows-Eventlog Datum: :58:55 Ereignis-ID: 1100 Aufgabenkategorie:Dienst wird heruntergefahren Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Der Ereignisprotokollierungsdienst wurde heruntergefahren. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef d5-6e5cfe9ce148}" /> <EventID>1100</EventID> <Version>0</Version> <Level>4</Level> <Task>103</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:58: Z" /> <EventRecordID>18702</EventRecordID> <Correlation /> <Execution ProcessID="480" ThreadID="1568" /> <Channel>Security</Channel>

2 <Computer>moni-PC</Computer> <Security /> </System> <UserData> <ServiceShutdown xmlns:auto-ns3=" xmlns=" </ServiceShutdown> </UserData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :58:46 Ereignis-ID: 4647 Aufgabenkategorie:Abmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Benutzerinitiierte Abmeldung: Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: moni-pc\moni moni moni-pc

3 Anmelde-ID: 0x189ec Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>4647</EventID> <Version>0</Version> <Level>0</Level> <Task>12545</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:58: Z" /> <EventRecordID>18701</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="2452" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="TargetUserSid">S </Data> <Data Name="TargetUserName">moni</Data> <Data Name="TargetDomainName">moni-PC</Data>

4 <Data Name="TargetLogonId">0x189ec</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :57:49 Ereignis-ID: 5061 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Kryptografievorgang. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: MONI-PC$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {5E5F1C22-0CEF-401D B1BE0159D}

5 Schlüsseltyp: Computerschlüssel. Kryptografischer Vorgang: Vorgang: Schlüssel öffnen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5061</EventID> <Version>0</Version> <Level>0</Level> <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:57: Z" /> <EventRecordID>18700</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="804" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data>

6 <Data Name="SubjectUserName">MONI-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">RSA</Data> <Data Name="KeyName">{5E5F1C22-0CEF-401D B1BE0159D}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="Operation">%%2480</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :57:49 Ereignis-ID: 5058 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: Kontoname: SYSTEM MONI-PC$

7 Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Algorithmusname: Microsoft Software Key Storage Provider Nicht verfügbar. Schlüsselname: {5E5F1C22-0CEF-401D B1BE0159D} Schlüsseltyp: Computerschlüssel. Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\615d1a1d859cf13dc3625aeb39dce5f6_3d eb24-42ab-8f6f-3562faba4387 Vorgang: Persistenten Schlüssel aus Datei lesen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5058</EventID> <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords>

8 <TimeCreated SystemTime=" T06:57: Z" /> <EventRecordID>18699</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="804" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">MONI-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">%%2432</Data> <Data Name="KeyName">{5E5F1C22-0CEF-401D B1BE0159D}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\Keys\615d1a1d859cf13dc3625aeb39dce5f6_3d eb24-42ab-8f6f-3562faba4387</Data> <Data Name="Operation">%%2458</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing

9 Datum: :56:49 Ereignis-ID: 5061 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Kryptografievorgang. Antragsteller: Sicherheits-ID: SYSTEM Kontoname: MONI-PC$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {5E5F1C22-0CEF-401D B1BE0159D} Schlüsseltyp: Computerschlüssel. Kryptografischer Vorgang: Vorgang: Schlüssel öffnen. Ereignis-XML: Rückgabecode: 0x0

10 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5061</EventID> <Version>0</Version> <Level>0</Level> <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:56: Z" /> <EventRecordID>18698</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="852" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">MONI-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">RSA</Data> <Data Name="KeyName">{5E5F1C22-0CEF-401D B1BE0159D}</Data>

11 <Data Name="KeyType">%%2499</Data> <Data Name="Operation">%%2480</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :56:49 Ereignis-ID: 5058 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM MONI-PC$ WORKGROUP 0x3e7 Kryptografische Parameter: Anbietername: Algorithmusname: Microsoft Software Key Storage Provider Nicht verfügbar.

12 Schlüsselname: {5E5F1C22-0CEF-401D B1BE0159D} Schlüsseltyp: Computerschlüssel. Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\615d1a1d859cf13dc3625aeb39dce5f6_3d eb24-42ab-8f6f-3562faba4387 Vorgang: Persistenten Schlüssel aus Datei lesen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5058</EventID> <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:56: Z" /> <EventRecordID>18697</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="852" /> <Channel>Security</Channel> <Computer>moni-PC</Computer>

13 <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">MONI-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">%%2432</Data> <Data Name="KeyName">{5E5F1C22-0CEF-401D B1BE0159D}</Data> <Data Name="KeyType">%%2499</Data> <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\Keys\615d1a1d859cf13dc3625aeb39dce5f6_3d eb24-42ab-8f6f-3562faba4387</Data> <Data Name="Operation">%%2458</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :56:35 Ereignis-ID: 5061 Aufgabenkategorie:Systemintegrität Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Nicht zutreffend

14 Computer: moni-pc Beschreibung: Kryptografievorgang. Antragsteller: Sicherheits-ID: LOKALER DIENST Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 350bdf22-85fb-46c1-939c-76f10ba883cb Schlüsseltyp: Computerschlüssel. Kryptografischer Vorgang: Vorgang: Schlüssel öffnen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5061</EventID> <Version>0</Version>

15 <Level>0</Level> <Task>12290</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:56: Z" /> <EventRecordID>18696</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="804" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">LOKALER DIENST</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e5</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">RSA</Data> <Data Name="KeyName">350bdf22-85fb-46c1-939c-76f10ba883cb</Data> <Data Name="KeyType">%%2499</Data> <Data Name="Operation">%%2480</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event>

16 Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :56:35 Ereignis-ID: 5058 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: LOKALER DIENST LOKALER DIENST NT-AUTORITÄT 0x3e5 Kryptografische Parameter: Anbietername: Algorithmusname: Microsoft Software Key Storage Provider Nicht verfügbar. Schlüsselname: 350bdf22-85fb-46c1-939c-76f10ba883cb Schlüsseltyp: Computerschlüssel. Informationen zum Schlüsseldateivorgang: Dateipfad:

17 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\8496fe3172a5a13d18d2bb35defd75d7_3 d eb24-42ab-8f6f-3562faba4387 Vorgang: Persistenten Schlüssel aus Datei lesen. Ereignis-XML: Rückgabecode: 0x0 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5058</EventID> <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:56: Z" /> <EventRecordID>18695</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="804" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">LOKALER DIENST</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data>

18 <Data Name="SubjectLogonId">0x3e5</Data> <Data Name="ProviderName">Microsoft Software Key Storage Provider</Data> <Data Name="AlgorithmName">%%2432</Data> <Data Name="KeyName">350bdf22-85fb-46c1-939c-76f10ba883cb</Data> <Data Name="KeyType">%%2499</Data> <Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\8496fe3172a5a13d18d2bb3 5defd75d7_3d eb24-42ab-8f6f-3562faba4387</Data> <Data Name="Operation">%%2458</Data> <Data Name="ReturnCode">0x0</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :56:02 Ereignis-ID: 4672 Aufgabenkategorie:Spezielle Anmeldung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: SYSTEM

19 Kontoname: SYSTEM Kontodomäne: Anmelde-ID: NT-AUTORITÄT 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords>

20 <TimeCreated SystemTime=" T06:56: Z" /> <EventRecordID>18694</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="804" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> </EventData> </Event>

21 Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :56:02 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM MONI-PC$ WORKGROUP 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7

22 Anmelde-GUID: { } Prozessinformationen: Prozess-ID: Prozessname: 0x2b8 C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: Advapi Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

23 Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:56: Z" /> <EventRecordID>18693</EventRecordID> <Correlation />

24 <Execution ProcessID="736" ThreadID="804" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">MONI-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="TargetUserSid">S </Data> <Data Name="TargetUserName">SYSTEM</Data> <Data Name="TargetDomainName">NT-AUTORITÄT</Data> <Data Name="TargetLogonId">0x3e7</Data> <Data Name="LogonType">5</Data> <Data Name="LogonProcessName">Advapi </Data> <Data Name="AuthenticationPackageName">Negotiate</Data> <Data Name="WorkstationName"> </Data> <Data Name="LogonGuid">{ }</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x2b8</Data> <Data Name="ProcessName">C:\Windows\System32\services.exe</Data> <Data Name="IpAddress">-</Data>

25 <Data Name="IpPort">-</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :55:50 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: NULL SID Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: ANONYMOUS-ANMELDUNG

26 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: Anmelde-ID: NT-AUTORITÄT 0x361de Anmelde-GUID: { } Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: NtLmSsp NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

27 Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode>

28 <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:55: Z" /> <EventRecordID>18692</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="852" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S-1-0-0</Data> <Data Name="SubjectUserName">-</Data> <Data Name="SubjectDomainName">-</Data> <Data Name="SubjectLogonId">0x0</Data> <Data Name="TargetUserSid">S-1-5-7</Data> <Data Name="TargetUserName">ANONYMOUS-ANMELDUNG</Data> <Data Name="TargetDomainName">NT-AUTORITÄT</Data> <Data Name="TargetLogonId">0x361de</Data> <Data Name="LogonType">3</Data> <Data Name="LogonProcessName">NtLmSsp </Data> <Data Name="AuthenticationPackageName">NTLM</Data> <Data Name="WorkstationName"> </Data> <Data Name="LogonGuid">{ }</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">NTLM V1</Data>

29 <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x0</Data> <Data Name="ProcessName">-</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :55:35 Ereignis-ID: 5024 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Der Windows-Firewalldienst wurde erfolgreich gestartet. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5024</EventID> <Version>0</Version>

30 <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:55: Z" /> <EventRecordID>18691</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="856" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :55:34 Ereignis-ID: 5033 Aufgabenkategorie:Andere Systemereignisse Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung:

31 Der Windows-Firewalltreiber wurde erfolgreich gestartet. Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>5033</EventID> <Version>0</Version> <Level>0</Level> <Task>12292</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:55: Z" /> <EventRecordID>18690</EventRecordID> <Correlation /> <Execution ProcessID="4" ThreadID="52" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing

32 Datum: :55:33 Ereignis-ID: 4672 Aufgabenkategorie:Spezielle Anmeldung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege

33 SeImpersonatePrivilege Ereignis-XML: <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>4672</EventID> <Version>0</Version> <Level>0</Level> <Task>12548</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:55: Z" /> <EventRecordID>18689</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="852" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">SYSTEM</Data> <Data Name="SubjectDomainName">NT-AUTORITÄT</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege

34 SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :55:33 Ereignis-ID: 4624 Aufgabenkategorie:Anmelden Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc Beschreibung: Ein Konto wurde erfolgreich angemeldet. Antragsteller:

35 Sicherheits-ID: SYSTEM Kontoname: Kontodomäne: Anmelde-ID: MONI-PC$ WORKGROUP 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: Kontoname: Kontodomäne: Anmelde-ID: SYSTEM SYSTEM NT-AUTORITÄT 0x3e7 Anmelde-GUID: { } Prozessinformationen: Prozess-ID: Prozessname: 0x2b8 C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Authentifizierungspaket: Advapi Negotiate

36 Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Ereignis-XML:

37 <Event xmlns=" <System> <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{ A5BA- 3E3B0328C30D}" /> <EventID>4624</EventID> <Version>0</Version> <Level>0</Level> <Task>12544</Task> <Opcode>0</Opcode> <Keywords>0x </Keywords> <TimeCreated SystemTime=" T06:55: Z" /> <EventRecordID>18688</EventRecordID> <Correlation /> <Execution ProcessID="736" ThreadID="852" /> <Channel>Security</Channel> <Computer>moni-PC</Computer> <Security /> </System> <EventData> <Data Name="SubjectUserSid">S </Data> <Data Name="SubjectUserName">MONI-PC$</Data> <Data Name="SubjectDomainName">WORKGROUP</Data> <Data Name="SubjectLogonId">0x3e7</Data> <Data Name="TargetUserSid">S </Data> <Data Name="TargetUserName">SYSTEM</Data> <Data Name="TargetDomainName">NT-AUTORITÄT</Data>

38 <Data Name="TargetLogonId">0x3e7</Data> <Data Name="LogonType">5</Data> <Data Name="LogonProcessName">Advapi </Data> <Data Name="AuthenticationPackageName">Negotiate</Data> <Data Name="WorkstationName"> </Data> <Data Name="LogonGuid">{ }</Data> <Data Name="TransmittedServices">-</Data> <Data Name="LmPackageName">-</Data> <Data Name="KeyLength">0</Data> <Data Name="ProcessId">0x2b8</Data> <Data Name="ProcessName">C:\Windows\System32\services.exe</Data> <Data Name="IpAddress">-</Data> <Data Name="IpPort">-</Data> </EventData> </Event> Protokollname: Security Quelle: Microsoft-Windows-Security-Auditing Datum: :55:32 Ereignis-ID: 4672 Aufgabenkategorie:Spezielle Anmeldung Ebene: Informationen Schlüsselwörter:Überwachung erfolgreich Benutzer: Computer: Nicht zutreffend moni-pc