本帖最后由 洛枫 于 2021-2-4 18:56 编辑

已枚举启用了安全机制的本地组成员身份。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqo

帐户域:                WORKGROUP

登录 ID:                0x3E7

组:

安全 ID:                BUILTIN\Administrators

组名:                Administrators

组域:                Builtin

进程信息:

进程 ID:                0x1d8

进程名称:                C:\Windows\System32\svchost.exe

------------------------------------------------------------------------

组成员身份信息。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

登录类型:                        5

新登录:

安全 ID:                SYSTEM

帐户名称:                SYSTEM

帐户域:                NT AUTHORITY

登录 ID:                0x3E7

事件顺序:                1/1

组成员身份:

BUILTIN\Administrators

Everyone

NT AUTHORITY\Authenticated Users

Mandatory Label\System Mandatory Level

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的，即已登录的帐户。

配置审计组成员身份子类别时，将生成此事件。可以使用“登录 ID”字段，将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。

------------------------------------------------------------------------

为新登录分配了特殊权限。

使用者:

安全 ID:                SYSTEM

帐户名:                SYSTEM

帐户域:                NT AUTHORITY

登录 ID:                0x3E7

特权:                SeAssignPrimaryTokenPrivilege

SeTcbPrivilege

SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeAuditPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

SeDelegateSessionUserImpersonatePrivilege

------------------------------------------------------------------------

已枚举用户的本地组成员身份。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

用户:

安全 ID:                iZqot06zbqou1fZ\Administrator

帐户名称:                Administrator

帐户域:                iZqot06zbqou1fZ

进程信息:

进程 ID:                0x3934

进程名称:                C:\Program Files (x86)\Alibaba\Aegis\PythonLoader\AliSecureCheckAdvanced.exe

------------------------------------------------------------------------

密钥文件操作。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

加密参数:

提供程序名称:        Microsoft Software Key Storage Provider

算法名称:        UNKNOWN

密钥名称:        358a0d06-e714-aa95-45dd-de28912d4295

密钥类型:        用户密钥。

密钥文件操作信息:

文件路径:        C:\ProgramData\Microsoft\Crypto\SystemKeys\20be53b608ab395e0077de4a1d2fc352_4ca52d0b-ffb7-4ae0-b9ec-3f62c534a2b2

操作:        从文件中读取保留的密钥。

返回代码:        0x0

------------------------------------------------------------------------

对象的审核设置已更改。

使用者:

安全 ID:                SYSTEM

帐户名称:                iZqot06zbqou1fZ$

帐户域:                WORKGROUP

登录 ID:                0x3E7

对象:

对象服务器:        Security

对象类型:        File

对象名称:        C:\Windows\Boot\EFI\memtest.efi

句柄 ID:        0x58

进程信息:

进程 ID:        0x1468

进程名称:        C:\Windows\System32\poqexec.exe

审核设置:

原始安全描述符:        S:AI

新安全描述符:                S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)