--------[ AIDA64 Extreme ]---------------------------------------------------------------------------------------------- 版本 AIDA64 v6.70.6000/cn 检测模块 4.5.868.8-x64 主页 http://www.aida64.com/ 报告类型 快速报告 [ TRIAL VERSION ] 计算机 XTT-20220421VKV 用户 Administrator 操作系统 Microsoft Windows 10 Pro 10.0.19041.264 (Win10 20H1 [2004] May 2020 Update) 日期 2022-04-29 时间 22:57 --------[ 系统概述 ]---------------------------------------------------------------------------------------------------- 计算机: 计算机类型 基于 ACPI x64 的电脑 (Mobile) 操作系统 Microsoft Windows 10 Pro 操作系统版本升级(SP) [ TRIAL VERSION ] Internet Explorer 11.264.19041.0 (IE 11.0.190) Edge 44.19041.1.0 DirectX DirectX 12.0 计算机名称 XTT-20220421VKV 用户名称 Administrator 登录域 [ TRIAL VERSION ] 日期/时间 2022-04-29 / 22:57 主板: 处理器名称 Mobile DualCore Intel Core i5-4210U, 2400 MHz (24 x 100) 主板名称 Acer Aspire VN7-571G 主板芯片组 Intel Lynx Point-LP, Intel Haswell 系统内存 [ TRIAL VERSION ] DIMM1: Samsung M471B5173DB0-YK0 4 GB DDR3-1600 DDR3 SDRAM (11-11-11-28 @ 800 MHz) (10-10-10-27 @ 761 MHz) (9-9-9-24 @ 685 MHz) (8-8-8-22 @ 609 MHz) (7-7-7-19 @ 533 MHz) (6-6-6-16 @ 457 MHz) (5-5-5-14 @ 380 MHz) DIMM3: Kingston 9905469-157.A00LF [ TRIAL VERSION ] BIOS 类型 Insyde (09/12/2014) 显示设备: 显示适配器 Intel(R) HD Graphics 4400 (1 GB) 显示适配器 Intel(R) HD Graphics 4400 (1 GB) 显示适配器 Intel(R) HD Graphics 4400 (1 GB) 3D 加速器 Intel HD Graphics 4400 3D 加速器 nVIDIA GeForce GTX 850M 显示器 LG Philips LP156WF4-SPK1 [15.6" LCD] 多媒体: 音频适配器 Realtek ALC283 @ Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] 存储设备: IDE 控制器 标准 SATA AHCI 控制器 存储控制器 Microsoft 存储空间控制器 硬盘驱动器 WDC WD5000LPVX-22V0TT0 (500 GB, 5400 RPM, SATA-III) 硬盘 SMART 状态 OK 磁盘分区: C: (NTFS) [ TRIAL VERSION ] D: (NTFS) 129.0 GB (50.7 GB 可用) E: (NTFS) 129.0 GB (101.4 GB 可用) F: (NTFS) 127.8 GB (98.2 GB 可用) 总大小 [ TRIAL VERSION ] 输入设备: 键盘 HID Keyboard Device 键盘 PS/2 标准键盘 鼠标 HID-compliant mouse 鼠标 HID-compliant mouse 网络设备: 主 IP 地址 [ TRIAL VERSION ] 主 MAC 地址 C0-38-96-75-5C-B7 网络适配器 Bluetooth Device (Personal Area Network) 网络适配器 Microsoft Wi-Fi Direct Virtual Adapter #2 网络适配器 Microsoft Wi-Fi Direct Virtual Adapter 网络适配器 Qualcomm Atheros AR5BWB222 Wireless Network Adapter (192. [ TRIAL VERSION ]) 网络适配器 Realtek PCIe GbE Family Controller 外围设备: 打印机 Fax 打印机 Microsoft Print to PDF 打印机 Microsoft XPS Document Writer 打印机 导出为WPS PDF USB2 控制器 Intel Lynx Point-LP PCH - USB 2.0 EHCI Host Controller 1 [B2] USB3 控制器 Intel Lynx Point-LP PCH - USB 3.0 xHCI Host Controller [B2] USB 设备 Bluetooth USB Module USB 设备 Generic USB Hub USB 设备 HD WebCam USB 设备 Realtek USB 2.0 Card Reader USB 设备 USB Composite Device USB 设备 USB Composite Device USB 设备 USB 输入设备 USB 设备 USB 输入设备 电池 Microsoft AC 适配器 电池 Microsoft ACPI 兼容的控制方法电池 DMI: DMI BIOS 厂商 Insyde Corp. DMI BIOS 版本 V1.08 DMI 系统制造商 Acer DMI 系统产品 Aspire VN7-571G DMI 系统版本 V1.08 DMI 系统序列号 [ TRIAL VERSION ] DMI 系统 UUID [ TRIAL VERSION ] DMI 主板制造商 Acer DMI 主板产品 Aspire VN7-571G DMI 主板版本 V1.08 DMI 主板序列号 [ TRIAL VERSION ] DMI 主机制造商 Acer DMI 主机版本 V1.08 DMI 主机序列号 [ TRIAL VERSION ] DMI 主机识别标签 [ TRIAL VERSION ] DMI 主机类型 Notebook --------[ 计算机名称 ]-------------------------------------------------------------------------------------------------- 计算机注释 逻辑 NetBIOS 名称 逻辑 XTT-20220421VKV DNS 主机名称 逻辑 XTT-20220421VKV DNS 域名 逻辑 完整合格的 DNS 名称 逻辑 XTT-20220421VKV NetBIOS 名称 物理 XTT-20220421VKV DNS 主机名称 物理 XTT-20220421VKV DNS 域名 物理 完整合格的 DNS 名称 物理 XTT-20220421VKV --------[ DMI ]--------------------------------------------------------------------------------------------------------- [ BIOS ] BIOS 属性: 厂商 Insyde Corp. 版本 V1.08 发布日期 09/12/2014 大小 4 MB 系统 BIOS 版本 1.8 嵌入式控制器固件版本 1.12 引导设备 Floppy Disk, Hard Disk, CD-ROM 性能 Flash BIOS, Shadow BIOS, Selectable Boot, EDD, BBS 支持的标准 DMI, ACPI, UEFI 扩展性能 PCI, USB 虚拟机 否 BIOS 制造商: 公司名称 Insyde Software Corp. 产品信息 http://www.insydesw.com/products BIOS 升级 http://www.aida64.com/goto/?p=biosupdates [ 系统 ] 系统: 制造商 Acer 产品 Aspire VN7-571G 版本 V1.08 序列号 [ TRIAL VERSION ] SKU# Aspire VN7-571G_091B_1.08 家族 Sharkbay System 全局唯一识别码(UUID) [ TRIAL VERSION ] 全局唯一识别码(UUID) (GUID) [ TRIAL VERSION ] 唤醒方式 电源开关 [ 主板 ] 主板: 制造商 Acer 产品 Aspire VN7-571G 版本 V1.08 序列号 [ TRIAL VERSION ] 标识 [ TRIAL VERSION ] 标识 [ TRIAL VERSION ] 标识 [ TRIAL VERSION ] 主板制造商: 公司名称 Acer Inc. 产品信息 http://us.acer.com/ac/en/US/content/group/desktops BIOS 下载 http://us.acer.com/ac/en/US/content/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates BIOS 升级 http://www.aida64.com/goto/?p=biosupdates [ 机箱 ] 机型: 制造商 Acer 版本 V1.08 序列号 [ TRIAL VERSION ] 标识 [ TRIAL VERSION ] 机箱类型 Notebook 引导状态 安全 电源状态 安全 温度状态 安全 安全性状态 无 [ 处理器 / Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz ] 处理器: 制造商 Intel(R) Corporation 版本 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 序列号 To Be Filled By O.E.M. 标识 To Be Filled By O.E.M. 部件号 To Be Filled By O.E.M. 外部时钟频率 100 MHz 最大时钟频率 2400 MHz 当前时钟频率 2000 MHz 类型 Central Processor 电压 0.7 V 状态 已启用 升级 Socket BGA1168 Socket 定义 U3E1 HTT / CMP Units 2 / 2 性能 64-bit, Multi-Core, Multiple Hardware Threads, Execute Protection, Enhanced Virtualization, Power/Performance Control CPU 制造商: 公司名称 Intel Corporation 产品信息 https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i5-4210U 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 高速缓存 / L1 Cache ] 高速缓存: 类型 数据 状态 已启用 运行模式 Write-Back 关联 8-way Set-Associative 最大容量 32 KB 已安装容量 32 KB 支持 SRAM 类型 Synchronous 当前 SRAM 类型 Synchronous 错误修正 Single-bit ECC Socket 定义 L1 缓存 [ 高速缓存 / L1 Cache ] 高速缓存: 类型 Instruction 状态 已启用 运行模式 Write-Back 关联 8-way Set-Associative 最大容量 32 KB 已安装容量 32 KB 支持 SRAM 类型 Synchronous 当前 SRAM 类型 Synchronous 错误修正 Single-bit ECC Socket 定义 L1 缓存 [ 高速缓存 / L2 Cache ] 高速缓存: 类型 Unified 状态 已启用 运行模式 Write-Back 关联 8-way Set-Associative 最大容量 256 KB 已安装容量 256 KB 支持 SRAM 类型 Synchronous 当前 SRAM 类型 Synchronous 错误修正 Single-bit ECC Socket 定义 L2 缓存 [ 高速缓存 / L3 Cache ] 高速缓存: 类型 Unified 状态 已启用 运行模式 Write-Back 关联 12-way Set-Associative 最大容量 3 MB 已安装容量 3 MB 支持 SRAM 类型 Synchronous 当前 SRAM 类型 Synchronous 错误修正 Single-bit ECC Socket 定义 L3 缓存 [ 内存阵列 / System Memory ] 内存阵列: 位置 主板 内存阵列功能 系统内存 错误修正 无 最大内存容量 32 GB 内存设备 4 [ 内存设备 / DIMM0 ] 内存设备: 形状特征 SODIMM 类型 DDR3 类型详情 Synchronous 大小 4 GB 最大时钟频率 1600 MT/s 当前时钟频率 1600 MT/s 总带宽 64 位 数据带宽 64 位 Ranks 1 设备定位 DIMM0 Bank 定位 BANK 0 制造商 Samsung 序列号 E1A86D76 标识 未知 部件号 M471B5173DB0-YK0 [ 内存设备 / DIMM1 ] 内存设备: 形状特征 DIMM 设备定位 DIMM1 Bank 定位 BANK 1 制造商 空闲 序列号 空闲 标识 未知 部件号 空闲 [ 内存设备 / DIMM2 ] 内存设备: 形状特征 SODIMM 类型 DDR3 类型详情 Synchronous 大小 4 GB 最大时钟频率 1600 MT/s 当前时钟频率 1600 MT/s 总带宽 64 位 数据带宽 64 位 Ranks 1 设备定位 DIMM2 Bank 定位 BANK 2 制造商 Kingston 序列号 0C36A4B9 标识 未知 部件号 9905469-157.A00LF [ 内存设备 / DIMM3 ] 内存设备: 形状特征 DIMM 设备定位 DIMM3 Bank 定位 BANK 3 制造商 空闲 序列号 空闲 标识 未知 部件号 空闲 [ 主板集成设备 / Video Graphics Controller ] 主板集成设备: 描述 Video Graphics Controller 类型 Video 状态 已启用 [ 主板集成设备 / Realtek Lan Controller ] 主板集成设备: 描述 Realtek Lan Controller 类型 Ethernet 状态 已启用 [ 其它 ] 其它: OEM String Acer System System Configuration Option Aspire --------[ 超频 ]-------------------------------------------------------------------------------------------------------- 中央处理器(CPU): 处理器名称 Mobile DualCore Intel Core i5-4210U 内部名称 Haswell-ULT 制程步进 C0/D0 Engineering Sample 否 名称 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 修订版本 00040651h CPU VID 0.8063 V 中央处理器速度: CPU 核心频率 1696.1 MHz (原始频率: [ TRIAL VERSION ] MHz) CPU 倍频 17x CPU 外频(FSB) 99.8 MHz (原始频率: 100 MHz) 北桥时钟频率 2394.5 MHz 内存总线频率 798.2 MHz DRAM : FSB 24:3 CPU 高速缓存: L1 代码缓存 32 KB per core L1 数据缓存 [ TRIAL VERSION ] L2 缓存 256 KB per core (On-Die, ECC, Full-Speed) L3 缓存 3 MB (On-Die, ECC, Full-Speed) 主板: 主板 ID 主板名称 Acer Aspire VN7-571G 芯片组: 主板芯片组 Intel Lynx Point-LP, Intel Haswell 内存计时 11-11-11-28 (CL-RCD-RP-RAS) Command Rate (CR) [ TRIAL VERSION ] DIMM1: Samsung M471B5173DB0-YK0 4 GB DDR3-1600 DDR3 SDRAM (11-11-11-28 @ 800 MHz) (10-10-10-27 @ 761 MHz) (9-9-9-24 @ 685 MHz) (8-8-8-22 @ 609 MHz) (7-7-7-19 @ 533 MHz) (6-6-6-16 @ 457 MHz) (5-5-5-14 @ 380 MHz) DIMM3: Kingston 9905469-157.A00LF [ TRIAL VERSION ] BIOS 属性: 系统 BIOS 日期 09/12/2014 视频 BIOS 日期 08/06/14 DMI BIOS 版本 V1.08 图形处理器(GPU): 显示适配器 nVIDIA GeForce GTX 850M (Acer) GPU 代码名称 GM107M (PCI Express 2.0 x16 10DE / 1391, Rev A2) GPU 核心频率 135 MHz 显存频率 405 MHz --------[ 电源管理 ]---------------------------------------------------------------------------------------------------- 电源管理: 当前电源 交流电源 电池状态 96 % (电量充足) 电池寿命 未知 剩余寿命 未知 电池属性: 设备名称 AC14A8L 制造商 LGC 序列号 2679 唯一识别码 2679LGCAC14A8L 电池类型 可充电 Li-Ion 设计容量 52497 mWh 最大容量 22777 mWh 当前容量 21956 mWh (96 %) 电池电压 12.494 V 损耗程度 56 % 电源状态 交流电源, 正在放电 --------[ 便携式计算机 ]------------------------------------------------------------------------------------------------ Centrino (Carmel) 兼容平台: 中央处理器(CPU): Intel Pentium M (Banias/Dothan) 否 (Mobile Intel Core i5-4210U) 芯片组: Intel i855GM/PM 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel PRO/Wireless 否 系统: 兼容 Centrino 否 Centrino (Sonoma) 兼容平台: 中央处理器(CPU): Intel Pentium M (Dothan) 否 (Mobile Intel Core i5-4210U) 芯片组: Intel i915GM/PM 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel PRO/Wireless 2200/2915 否 系统: 兼容 Centrino 否 Centrino (Napa) 兼容平台: 中央处理器(CPU): Intel Core (Yonah) / Core 2 (Merom)否 (Mobile Intel Core i5-4210U) 芯片组: Intel i945GM/PM 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel PRO/Wireless 3945/3965 否 系统: 兼容 Centrino 否 Centrino (Santa Rosa) 兼容平台: 中央处理器(CPU): Intel Core 2 (Merom/Penryn) 否 (Mobile Intel Core i5-4210U) 芯片组: Intel GM965/PM965 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel Wireless WiFi Link 4965 否 系统: 兼容 Centrino 否 Centrino 2 (Montevina) 兼容平台: 中央处理器(CPU): Intel Core 2 (Penryn) 否 (Mobile Intel Core i5-4210U) 芯片组: Mobile Intel 4 Series 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel WiFi Link 5000 Series 否 系统: 兼容 Centrino 2 否 Centrino (Calpella) 兼容平台: 中央处理器(CPU): Intel Core i3/i5/i7 (Arrandale/Clarksfield)否 (Mobile Intel Core i5-4210U) 芯片组: Mobile Intel 5 Series 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel Centrino Advanced-N / Ultimate-N / Wireless-N否 系统: 兼容 Centrino 否 Centrino (Huron River) 兼容平台: 中央处理器(CPU): Intel Core i3/i5/i7 (Sandy Bridge-MB)否 (Mobile Intel Core i5-4210U) 芯片组: Mobile Intel 6 Series 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel Centrino Advanced-N / Ultimate-N / Wireless-N否 系统: 兼容 Centrino 否 Centrino (Chief River) 兼容平台: 中央处理器(CPU): Intel Core i3/i5/i7 (Ivy Bridge-MB)否 (Mobile Intel Core i5-4210U) 芯片组: Mobile Intel 7 Series 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel Centrino Advanced-N / Ultimate-N / Wireless-N否 系统: 兼容 Centrino 否 Centrino (Shark Bay-MB) 兼容平台: 中央处理器(CPU): Intel Core i3/i5/i7 (Haswell-MB) 否 (Mobile Intel Core i5-4210U) 芯片组: Mobile Intel 8/9 Series 否 (Intel Lynx Point-LP, Intel Haswell) WLAN: Intel Centrino Advanced-N / Ultimate-N / Wireless-N否 系统: 兼容 Centrino 否 --------[ 传感器 ]------------------------------------------------------------------------------------------------------ 传感器: 传感器类型 CPU, HDD, ACPI, PCH, SNB GPU 传感器类型 Diode (NV-Diode) 温度: 主板 28 °C 中央处理器(CPU) 30 °C CPU Package 65 °C CPU IA Cores 65 °C CPU GT Cores 61 °C CPU #1/核心 #1 65 °C CPU #1/核心 #2 67 °C PCH 二极管 58 °C GPU 二极管 54 °C WDC WD5000LPVX-22V0TT0 [ TRIAL VERSION ] 电压: CPU 核心 0.806 V CPU VID 0.806 V 电池 12.494 V GPU 核心 [ TRIAL VERSION ] 功耗: CPU Package 10.47 W CPU IA Cores 6.42 W CPU GT Cores [ TRIAL VERSION ] CPU Uncore 2.97 W DIMM 1.06 W 电池充/放电 交流电源 GPU TDP% [ TRIAL VERSION ] --------[ 中央处理器(CPU) ]--------------------------------------------------------------------------------------------- 中央处理器(CPU): 处理器名称 Mobile DualCore Intel Core i5-4210U, 2400 MHz (24 x 100) 内部名称 Haswell-ULT 制程步进 C0/D0 指令集 x86, x86-64, MMX, SSE, SSE2, SSE3, SSSE3, SSE4.1, SSE4.2, AVX, AVX2, FMA, AES 原始频率 [ TRIAL VERSION ] 最低/最高倍频 8x / 24x Engineering Sample 否 L1 代码缓存 32 KB per core L1 数据缓存 [ TRIAL VERSION ] L2 缓存 256 KB per core (On-Die, ECC, Full-Speed) L3 缓存 3 MB (On-Die, ECC, Full-Speed) CPU 物理信息: 封装类型 1168 Ball BGA 封装尺寸 40 mm x 24 mm 晶体管数量 [ TRIAL VERSION ] 工艺技术 22 nm, CMOS, Cu, High-K + Metal Gate 核心尺寸 [ TRIAL VERSION ] PCH: 工艺技术 32 nm PCH: 核心尺寸 [ TRIAL VERSION ] 典型功耗 15 W CPU 制造商: 公司名称 Intel Corporation 产品信息 https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i5-4210U 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates Multi CPU: CPU #1 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz, 2394 MHz CPU #2 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz, 2394 MHz CPU #3 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz, 2394 MHz CPU #4 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz, 2394 MHz CPU 使用率: CPU #1/核心 #1/SMT #1 0% CPU #1/核心 #1/SMT #2 0% CPU #1/核心 #2/SMT #1 33% CPU #1/核心 #2/SMT #2 66% --------[ CPUID ]------------------------------------------------------------------------------------------------------- CPU 属性: 制造商 GenuineIntel 名称 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 修订版本 00040651h IA 商标 ID 00h (未知) 平台 ID 2Ch / MC 40h (BGA1168) 微代码修订更新 25h SMT/CMP 单元 2 / 2 过热保护温度(Tjmax) 100 °C (212 °F) CPU Thermal Design Power (TDP) 15 W CPU Thermal Design Current (TDC) 32 A CPU Max Power Limit Unlimited Power / Unlimited Time CPU Power Limit 1 (Long Duration) 28 W / 28.00 sec (Locked) CPU Power Limit 2 (Short Duration) 35 W / 2.44 ms (Locked) Max Turbo Boost Multipliers 1C: 27x, 2C: 24x 指令集: 64位 x86 扩展 (AMD64, Intel64) 支持 AMD 3DNow! 不支持 AMD 3DNow! Professional 不支持 AMD 3DNowPrefetch 不支持 AMD Enhanced 3DNow! 不支持 AMD Extended MMX 不支持 AMD FMA4 不支持 AMD MisAligned SSE 不支持 AMD SSE4A 不支持 AMD XOP 不支持 Cyrix Extended MMX 不支持 Enhanced REP MOVSB/STOSB 支持 Enqueue Stores 不支持 Galois Field New Instructions (GFNI) 不支持 Float-16 Conversion Instructions 支持, 已启用 IA-64 不支持 IA AES Extensions 支持 IA AMX-BF16 不支持 IA AMX-INT8 不支持 IA AMX Tile Architecture (AMX-TILE) 不支持 IA AVX 支持, 已启用 IA AVX2 支持, 已启用 IA AVX-512 (AVX512F) 不支持 IA AVX-512 4x Fused Multiply-Add Single Precision (AVX512_4FMAPS)不支持 IA AVX-512 4x Neural Network Instructions (AVX512_4VNNIW)不支持 IA AVX-512 52-bit Integer Multiply-Add Instructions (AVX512_IFMA)不支持 IA AVX-512 BF16 (AVX512_BF16) 不支持 IA AVX-512 Bit Algorithm (AVX512_BITALG) 不支持 IA AVX-512 Byte and Word Instructions (AVX512BW) 不支持 IA AVX-512 Conflict Detection Instructions (AVX512CD)不支持 IA AVX-512 Doubleword and Quadword Instructions (AVX512DQ)不支持 IA AVX-512 Exponential and Reciprocal Instructions (AVX512ER)不支持 IA AVX-512 FP16 (AVX512_FP16) 不支持 IA AVX-512 Intersection (AVX512_VP2INTERSECT) 不支持 IA AVX-512 Neural Network Instructions (AVX512_VNNI)不支持 IA AVX-512 Prefetch Instructions (AVX512PF) 不支持 IA AVX-512 Vector Bit Manipulation Instructions (AVX512_VBMI)不支持 IA AVX-512 Vector Bit Manipulation Instructions 2 (AVX512_VBMI2)不支持 IA AVX-512 Vector Length Extensions (AVX512VL) 不支持 IA AVX-512 VPOPCNTDQ 不支持 IA AVX Vector Neural Network Instructions (AVX-VNNI)不支持 IA BMI1 支持 IA BMI2 支持 IA FMA 支持, 已启用 IA MMX 支持 IA SHA Extensions 不支持 IA SSE 支持 IA SSE2 支持 IA SSE3 支持 IA Supplemental SSE3 支持 IA SSE4.1 支持 IA SSE4.2 支持 Vector AES (VAES) 不支持 VIA Alternate Instruction Set 不支持 ADCX / ADOX 指令 不支持 CLDEMOTE 指令 不支持 CLFLUSH 指令 支持 CLFLUSHOPT 指令 不支持 CLWB 指令 不支持 CLZERO 指令 不支持 CMPXCHG8B 指令 支持 CMPXCHG16B 指令 支持 Conditional Move 指令 支持 Fast Short CMPSB & SCASB 指令 不支持 Fast Short REP MOV 指令 不支持 Fast Short STOSB 指令 不支持 Fast Zero-Length MOVSB 指令 不支持 HRESET 指令 不支持 INVLPGB 指令 不支持 INVPCID 指令 支持 LAHF / SAHF 指令 支持 LZCNT 指令 支持 MCOMMIT 指令 不支持 MONITOR / MWAIT 指令 支持 MONITORX / MWAITX 指令 不支持 MOVBE 指令 支持 MOVDIR64B 指令 不支持 MOVDIRI 指令 不支持 PCLMULQDQ 指令 支持 PCOMMIT 指令 不支持 PCONFIG 指令 不支持 POPCNT 指令 支持 PREFETCHWT1 指令 不支持 PTWRITE 指令 不支持 RDFSBASE / RDGSBASE / WRFSBASE / WRGSBASE 指令 支持 RDPRU 指令 不支持 RDRAND 指令 支持 RDSEED 指令 不支持 RDTSCP 指令 支持 SKINIT / STGI 指令 不支持 SYSCALL / SYSRET 指令 不支持 SYSENTER / SYSEXIT 指令 支持 Trailing Bit Manipulation Instructions 不支持 VIA FEMMS 指令 不支持 VPCLMULQDQ 指令 不支持 WBNOINVD 指令 不支持 安全特性: Advanced Cryptography Engine (ACE) 不支持 Advanced Cryptography Engine 2 (ACE2) 不支持 Control-flow Enforcement Technology - Indirect Branch Tracking (CET_IBT)不支持 Control-flow Enforcement Technology - Shadow Stack (CET_SS)不支持 数据执行保护(DEP) (DEP, NX, EDB) 支持 Enhanced Indirect Branch Restricted Speculation 不支持 Hardware Random Number Generator (RNG) 不支持 Hardware Random Number Generator 2 (RNG2) 不支持 Indirect Branch Predictor Barrier (IBPB) 支持 Indirect Branch Restricted Speculation (IBRS) 支持 Key Locker 不支持 L1D Flush 支持 MD_CLEAR 支持 Memory Protection Extensions (MPX) 不支持 PadLock Hash Engine (PHE) 不支持 PadLock Hash Engine 2 (PHE2) 不支持 PadLock Montgomery Multiplier (PMM) 不支持 PadLock Montgomery Multiplier 2 (PMM2) 不支持 处理器序列号 (PSN) 不支持 Protection Keys for Supervisor-Mode Pages (PKS) 不支持 Protection Keys for User-Mode Pages (PKU) 不支持 Read Processor ID (RDPID) 不支持 Safer Mode Extensions (SMX) 不支持 Secure Memory Encryption (SME) 不支持 SGX Launch Configuration (SGX_LC) 不支持 Software Guard Extensions (SGX) 不支持 Single Thread Indirect Branch Predictors (STIBP) 支持 Speculative Store Bypass Disable (SSBD) 支持 SRBDS_CTRL 不支持 Supervisor Mode Access Prevention (SMAP) 不支持 Supervisor Mode Execution Protection (SMEP) 支持 Total Memory Encryption (TME) 不支持 User-Mode Instruction Prevention (UMIP) 不支持 电源管理特性: APM Power Reporting 不支持 Application Power Management (APM) 不支持 Automatic Clock Control 支持 Configurable TDP (cTDP) 不支持 Connected Standby 不支持 Core C6 State (CC6) 不支持 Digital Thermometer 支持 Dynamic FSB Frequency Switching 不支持 Enhanced Halt State (C1E) 支持, 已启用 Enhanced SpeedStep Technology (EIST, ESS) 支持, 已启用 Frequency ID Control 不支持 Hardware P-State Control 不支持 Hardware Thermal Control (HTC) 不支持 LongRun 不支持 LongRun Table Interface 不支持 Overstress 不支持 Package C6 State (PC6) 不支持 Parallax 不支持 PowerSaver 1.0 不支持 PowerSaver 2.0 不支持 PowerSaver 3.0 不支持 Processor Duty Cycle Control 支持 Running Average Power Limit (RAPL) 不支持 Software Thermal Control 不支持 SpeedShift (SST, HWP) 不支持 温度检测二极管 不支持 Thermal Monitor 1 支持 Thermal Monitor 2 支持 Thermal Monitor 3 不支持 Thermal Monitoring 不支持 Thermal Trip 不支持 Voltage ID Control 不支持 虚拟化特性: AMD Virtual Interrupt Controller (AVIC) 不支持 Decode Assists 不支持 Encrypted Microcode Patch 不支持 Encrypted State (SEV-ES) 不支持 Extended Page Table (EPT) 支持 Flush by ASID 不支持 Guest Mode Execute Trap Extension (GMET) 不支持 Hypervisor 不存在 INVEPT 指令 支持 INVVPID 指令 支持 LBR Virtualization 不支持 Memory Bandwidth Enforcement (MBE) 不支持 Nested Paging (NPT, RVI) 不支持 NRIP Save (NRIPS) 不支持 PAUSE Filter Threshold 不支持 PAUSE Intercept Filter 不支持 Secure Encrypted Virtualization (SEV) 不支持 Secure Virtual Machine (SVM, Pacifica) 不支持 SVM Lock (SVML) 不支持 Virtual Transparent Encryption (VTE) 不支持 Virtualized GIF (vGIF) 不支持 Virtualized VMLOAD and VMSAVE 不支持 Virtual Machine Extensions (VMX, Vanderpool) 支持 Virtual Processor ID (VPID) 支持 VMCB Clean Bits 不支持 其它特性: 1 GB Page Size 支持 36-bit Page Size Extension 支持 5-Level Paging 不支持 64-bit DS Area 支持 Adaptive Overclocking 不支持 Address Region Registers (ARR) 不支持 Code and Data Prioritization Technology (CDP) 不支持 Core Performance Boost (CPB) 不支持 Core Performance Counters 不支持 CPL Qualified Debug Store 支持 Data Breakpoint Extension 不支持 Debug Trace Store 支持 Debugging Extension 支持 Deprecated FPU CS and FPU DS 支持 Direct Cache Access 不支持 Dynamic Acceleration Technology (IDA) 不支持 Dynamic Configurable TDP (DcTDP) 不支持 Enhanced Hardware Feedback Interface (EHFI) 不支持 Extended APIC Register Space 不支持 Fast Save & Restore 支持 Hardware Feedback Interface (HFI) 不支持 Hardware Lock Elision (HLE) 不支持 Hybrid Boost 不支持 Hybrid CPU 不支持 Hyper-Threading Technology (HTT) 支持, 已启用 Instruction Based Sampling 不支持 Invariant Time Stamp Counter 支持 L1 Context ID 不支持 L2I Performance Counters 不支持 Lightweight Profiling 不支持 Local APIC On Chip 支持 Machine Check Architecture (MCA) 支持 Machine Check Exception (MCE) 支持 Memory Configuration Registers (MCR) 不支持 Memory Protection Range Registers (MPRR) 不支持 Memory Type Range Registers (MTRR) 支持 Model Specific Registers (MSR) 支持 NB Performance Counters 不支持 Page Attribute Table (PAT) 支持 Page Global Extension 支持 Page Size Extension (PSE) 支持 Pending Break Event (PBE) 支持 Performance Time Stamp Counter (PTSC) 不支持 Physical Address Extension (PAE) 支持 Process Context Identifiers (PCID) 支持 Processor Feedback Interface 不支持 Processor Trace (PT) 不支持 Resource Director Technology Allocation (RDT-A) 不支持 Resource Director Technology Monitoring (RDT-M) 不支持 Restricted Transactional Memory (RTM) 不支持 Self-Snoop 支持 Time Stamp Counter (TSC) 支持 Time Stamp Counter Adjust 支持 TSX Suspend Load Address Tracking 不支持 Turbo Boost 支持, 已启用 Turbo Boost Max 3.0 不支持 Upper Address Ignore (UAI) 不支持 User Interrupts (UINTR) 不支持 Virtual Mode Extension 支持 Watchdog Timer 不支持 x2APIC 不支持 XGETBV / XSETBV OS Enabled 支持 XSAVE / XRSTOR / XSETBV / XGETBV Extended States 支持 XSAVEOPT 支持 CPUID Registers (CPU #0): CPUID 00000000 0000000D-756E6547-6C65746E-49656E69 [GenuineIntel] CPUID 00000001 00040651-00100800-7FDAFBBF-BFEBFBFF CPUID 00000002 76036301-00F0B5FF-00000000-00C10000 CPUID 00000003 00000000-00000000-00000000-00000000 CPUID 00000004 1C004121-01C0003F-0000003F-00000000 [SL 00] CPUID 00000004 1C004122-01C0003F-0000003F-00000000 [SL 01] CPUID 00000004 1C004143-01C0003F-000001FF-00000000 [SL 02] CPUID 00000004 1C03C163-02C0003F-00000FFF-00000006 [SL 03] CPUID 00000005 00000040-00000040-00000003-11142120 CPUID 00000006 00000077-00000002-00000009-00000000 CPUID 00000007 00000000-000027AB-00000000-9C000400 [SL 00] CPUID 00000008 00000000-00000000-00000000-00000000 CPUID 00000009 00000000-00000000-00000000-00000000 CPUID 0000000A 07300403-00000000-00000000-00000603 CPUID 0000000B 00000001-00000002-00000100-00000000 [SL 00] CPUID 0000000B 00000004-00000004-00000201-00000000 [SL 01] CPUID 0000000C 00000000-00000000-00000000-00000000 CPUID 0000000D 00000007-00000340-00000340-00000000 [SL 00] CPUID 0000000D 00000001-00000000-00000000-00000000 [SL 01] CPUID 0000000D 00000100-00000240-00000000-00000000 [SL 02] CPUID 80000000 80000008-00000000-00000000-00000000 CPUID 80000001 00000000-00000000-00000021-2C100000 CPUID 80000002 65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM] CPUID 80000003 35692029-3132342D-43205530-40205550 [) i5-4210U CPU @] CPUID 80000004 372E3120-7A484730-00000000-00000000 [ 1.70GHz] CPUID 80000005 00000000-00000000-00000000-00000000 CPUID 80000006 00000000-00000000-01006040-00000000 CPUID 80000007 00000000-00000000-00000000-00000100 CPUID 80000008 00003027-00000000-00000000-00000000 CPUID Registers (CPU #1 Virtual): CPUID 00000000 0000000D-756E6547-6C65746E-49656E69 [GenuineIntel] CPUID 00000001 00040651-01100800-7FDAFBBF-BFEBFBFF CPUID 00000002 76036301-00F0B5FF-00000000-00C10000 CPUID 00000003 00000000-00000000-00000000-00000000 CPUID 00000004 1C004121-01C0003F-0000003F-00000000 [SL 00] CPUID 00000004 1C004122-01C0003F-0000003F-00000000 [SL 01] CPUID 00000004 1C004143-01C0003F-000001FF-00000000 [SL 02] CPUID 00000004 1C03C163-02C0003F-00000FFF-00000006 [SL 03] CPUID 00000005 00000040-00000040-00000003-11142120 CPUID 00000006 00000077-00000002-00000009-00000000 CPUID 00000007 00000000-000027AB-00000000-9C000400 [SL 00] CPUID 00000008 00000000-00000000-00000000-00000000 CPUID 00000009 00000000-00000000-00000000-00000000 CPUID 0000000A 07300403-00000000-00000000-00000603 CPUID 0000000B 00000001-00000002-00000100-00000001 [SL 00] CPUID 0000000B 00000004-00000004-00000201-00000001 [SL 01] CPUID 0000000C 00000000-00000000-00000000-00000000 CPUID 0000000D 00000007-00000340-00000340-00000000 [SL 00] CPUID 0000000D 00000001-00000000-00000000-00000000 [SL 01] CPUID 0000000D 00000100-00000240-00000000-00000000 [SL 02] CPUID 80000000 80000008-00000000-00000000-00000000 CPUID 80000001 00000000-00000000-00000021-2C100000 CPUID 80000002 65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM] CPUID 80000003 35692029-3132342D-43205530-40205550 [) i5-4210U CPU @] CPUID 80000004 372E3120-7A484730-00000000-00000000 [ 1.70GHz] CPUID 80000005 00000000-00000000-00000000-00000000 CPUID 80000006 00000000-00000000-01006040-00000000 CPUID 80000007 00000000-00000000-00000000-00000100 CPUID 80000008 00003027-00000000-00000000-00000000 CPUID Registers (CPU #2): CPUID 00000000 0000000D-756E6547-6C65746E-49656E69 [GenuineIntel] CPUID 00000001 00040651-02100800-7FDAFBBF-BFEBFBFF CPUID 00000002 76036301-00F0B5FF-00000000-00C10000 CPUID 00000003 00000000-00000000-00000000-00000000 CPUID 00000004 1C004121-01C0003F-0000003F-00000000 [SL 00] CPUID 00000004 1C004122-01C0003F-0000003F-00000000 [SL 01] CPUID 00000004 1C004143-01C0003F-000001FF-00000000 [SL 02] CPUID 00000004 1C03C163-02C0003F-00000FFF-00000006 [SL 03] CPUID 00000005 00000040-00000040-00000003-11142120 CPUID 00000006 00000077-00000002-00000009-00000000 CPUID 00000007 00000000-000027AB-00000000-9C000400 [SL 00] CPUID 00000008 00000000-00000000-00000000-00000000 CPUID 00000009 00000000-00000000-00000000-00000000 CPUID 0000000A 07300403-00000000-00000000-00000603 CPUID 0000000B 00000001-00000002-00000100-00000002 [SL 00] CPUID 0000000B 00000004-00000004-00000201-00000002 [SL 01] CPUID 0000000C 00000000-00000000-00000000-00000000 CPUID 0000000D 00000007-00000340-00000340-00000000 [SL 00] CPUID 0000000D 00000001-00000000-00000000-00000000 [SL 01] CPUID 0000000D 00000100-00000240-00000000-00000000 [SL 02] CPUID 80000000 80000008-00000000-00000000-00000000 CPUID 80000001 00000000-00000000-00000021-2C100000 CPUID 80000002 65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM] CPUID 80000003 35692029-3132342D-43205530-40205550 [) i5-4210U CPU @] CPUID 80000004 372E3120-7A484730-00000000-00000000 [ 1.70GHz] CPUID 80000005 00000000-00000000-00000000-00000000 CPUID 80000006 00000000-00000000-01006040-00000000 CPUID 80000007 00000000-00000000-00000000-00000100 CPUID 80000008 00003027-00000000-00000000-00000000 CPUID Registers (CPU #3 Virtual): CPUID 00000000 0000000D-756E6547-6C65746E-49656E69 [GenuineIntel] CPUID 00000001 00040651-03100800-7FDAFBBF-BFEBFBFF CPUID 00000002 76036301-00F0B5FF-00000000-00C10000 CPUID 00000003 00000000-00000000-00000000-00000000 CPUID 00000004 1C004121-01C0003F-0000003F-00000000 [SL 00] CPUID 00000004 1C004122-01C0003F-0000003F-00000000 [SL 01] CPUID 00000004 1C004143-01C0003F-000001FF-00000000 [SL 02] CPUID 00000004 1C03C163-02C0003F-00000FFF-00000006 [SL 03] CPUID 00000005 00000040-00000040-00000003-11142120 CPUID 00000006 00000077-00000002-00000009-00000000 CPUID 00000007 00000000-000027AB-00000000-9C000400 [SL 00] CPUID 00000008 00000000-00000000-00000000-00000000 CPUID 00000009 00000000-00000000-00000000-00000000 CPUID 0000000A 07300403-00000000-00000000-00000603 CPUID 0000000B 00000001-00000002-00000100-00000003 [SL 00] CPUID 0000000B 00000004-00000004-00000201-00000003 [SL 01] CPUID 0000000C 00000000-00000000-00000000-00000000 CPUID 0000000D 00000007-00000340-00000340-00000000 [SL 00] CPUID 0000000D 00000001-00000000-00000000-00000000 [SL 01] CPUID 0000000D 00000100-00000240-00000000-00000000 [SL 02] CPUID 80000000 80000008-00000000-00000000-00000000 CPUID 80000001 00000000-00000000-00000021-2C100000 CPUID 80000002 65746E49-2952286C-726F4320-4D542865 [Intel(R) Core(TM] CPUID 80000003 35692029-3132342D-43205530-40205550 [) i5-4210U CPU @] CPUID 80000004 372E3120-7A484730-00000000-00000000 [ 1.70GHz] CPUID 80000005 00000000-00000000-00000000-00000000 CPUID 80000006 00000000-00000000-01006040-00000000 CPUID 80000007 00000000-00000000-00000000-00000100 CPUID 80000008 00003027-00000000-00000000-00000000 MSR Registers (CPU #0): MSR 00000017 0018-0000-0000-0000 [PlatID = 6] MSR 0000001B 0000-0000-FEE0-0900 MSR 00000035 0000-0000-0002-0004 MSR 00000048 0000-0000-0000-0000 MSR 00000049 < FAILED > MSR 0000008B 0000-0025-0000-0000 MSR 000000CE 0008-083D-F301-1800 [eD = 0] MSR 000000E7 0000-0B7A-B8FF-94D3 [S200] MSR 000000E7 0000-0B7A-C0FD-1C2D [S200] MSR 000000E7 0000-0B7A-D00E-E390 MSR 000000E8 0000-0AD4-9D35-F88F [S200] MSR 000000E8 0000-0AD4-AF3B-76CA [S200] MSR 000000E8 0000-0AD4-BFFE-59C7 MSR 0000010B < FAILED > MSR 00000194 0000-0000-0001-0000 MSR 00000198 0000-19CD-0000-1800 [S200] MSR 00000198 0000-19CD-0000-1800 [S200] MSR 00000198 0000-16D2-0000-1100 MSR 00000199 0000-0000-0000-1500 MSR 0000019A 0000-0000-0000-0008 MSR 0000019B 0000-0000-0000-0000 MSR 0000019C 0000-0000-8824-0000 [S200] MSR 0000019C 0000-0000-8827-0000 [S200] MSR 0000019C 0000-0000-8823-0000 MSR 0000019D 0000-0000-0000-0000 MSR 000001A0 0000-0000-0085-0089 MSR 000001A2 0000-0000-0364-0000 MSR 000001A4 0000-0000-0000-0000 MSR 000001AA 0000-0000-0040-0000 MSR 000001AC < FAILED > MSR 000001AD 0000-0000-1818-181B MSR 000001B0 0000-0000-0000-0006 MSR 000001B1 0000-0000-8821-0000 MSR 000001B2 0000-0000-0000-0000 MSR 000001FC 0000-0000-0004-005F MSR 00000300 < FAILED > MSR 0000030A 0000-0AED-BDAF-854A [S200] MSR 0000030A 0000-0AED-D789-8BAA [S200] MSR 0000030A 0000-0AED-EF86-25F9 MSR 0000030B 0000-0BA6-84A1-3538 [S200] MSR 0000030B 0000-0BA6-8D19-FC38 [S200] MSR 0000030B 0000-0BA6-9944-3C70 MSR 00000480 00DA-0400-0000-0012 MSR 00000481 0000-007F-0000-0016 MSR 00000482 FFF9-FFFE-0401-E172 MSR 00000483 007F-FFFF-0003-6DFF MSR 00000484 0000-FFFF-0000-11FF MSR 00000485 0000-0000-3004-81E5 MSR 00000486 0000-0000-8000-0021 MSR 00000487 0000-0000-FFFF-FFFF MSR 00000488 0000-0000-0000-2000 MSR 00000489 0000-0000-0017-27FF MSR 0000048A 0000-0000-0000-002A MSR 0000048B 0000-3CFF-0000-0000 MSR 0000048C 0000-0F01-0633-4141 MSR 0000048D 0000-007F-0000-0016 MSR 0000048E FFF9-FFFE-0400-6172 MSR 0000048F 007F-FFFF-0003-6DFB MSR 00000490 0000-FFFF-0000-11FB MSR 00000601 4010-1414-0000-0100 MSR 00000602 < FAILED > MSR 00000603 0036-0000-0026-2626 MSR 00000604 < FAILED > MSR 00000606 0000-0000-000A-0E03 MSR 0000060A 0000-0000-0000-8842 MSR 0000060B 0000-0000-0000-886A MSR 0000060C 0000-0000-0000-8891 MSR 0000060D 0000-0112-6F25-8F50 MSR 00000610 8042-8118-00DD-80E0 MSR 00000611 0000-0000-5C4F-48C7 [S200] MSR 00000611 0000-0000-5C4F-EC46 [S200] MSR 00000611 0000-0000-5C50-99C2 MSR 00000613 0000-0000-0000-0028 MSR 00000614 0000-0000-0000-0078 MSR 00000618 0054-00DE-0000-0000 MSR 00000619 0000-0000-0C9D-80BC [S200] MSR 00000619 0000-0000-0C9D-A262 [S200] MSR 00000619 0000-0000-0C9D-B9FD MSR 0000061B 0000-0000-0000-0000 MSR 0000061C < FAILED > MSR 0000061E 0000-0000-0000-0000 MSR 00000620 0000-0000-0000-081B MSR 00000621 0000-0000-0000-0018 MSR 00000638 0000-0000-0000-0000 MSR 00000639 0000-0000-3455-0D98 [S200] MSR 00000639 0000-0000-3455-7FE3 [S200] MSR 00000639 0000-0000-3455-EC78 MSR 0000063A 0000-0000-0000-0009 MSR 0000063B < FAILED > MSR 00000640 0000-0000-0000-0000 MSR 00000641 0000-0000-0132-905F [S200] MSR 00000641 0000-0000-0132-9082 [S200] MSR 00000641 0000-0000-0132-913C MSR 00000642 0000-0000-0000-000D MSR 00000648 0000-0000-0000-0011 MSR 00000649 0000-0000-0008-005C MSR 0000064A 0000-0000-0018-00C8 MSR 0000064B 0000-0000-0000-0000 MSR 0000064C 0000-0000-0000-0014 MSR 00000690 0000-0000-1020-0020 MSR 000006B0 0000-0000-0000-0000 MSR 000006B1 0000-0000-0000-0000 MSR Registers (CPU #1): MSR 00000017 0018-0000-0000-0000 [PlatID = 6] MSR 0000001B 0000-0000-FEE0-0800 MSR 00000035 0000-0000-0002-0004 MSR 00000048 0000-0000-0000-0000 MSR 00000049 < FAILED > MSR 0000008B 0000-0025-0000-0000 MSR 000000CE 0008-083D-F301-1800 [eD = 0] MSR 000000E7 0000-0AEF-8A24-D555 MSR 000000E8 0000-0A7E-D57E-1CAD MSR 0000010B < FAILED > MSR 00000194 0000-0000-0001-0000 MSR 00000198 0000-1813-0000-1400 MSR 00000199 0000-0000-0000-1500 MSR 0000019A 0000-0000-0000-0008 MSR 0000019B 0000-0000-0000-0000 MSR 0000019C 0000-0000-8824-0000 MSR 0000019D 0000-0000-0000-0000 MSR 000001A0 0000-0000-0085-0089 MSR 000001A2 0000-0000-0364-0000 MSR 000001A4 0000-0000-0000-0000 MSR 000001AA 0000-0000-0040-0000 MSR 000001AC < FAILED > MSR 000001AD 0000-0000-1818-181B MSR 000001B0 0000-0000-0000-0006 MSR 000001B1 0000-0000-8824-0000 MSR 000001B2 0000-0000-0000-0000 MSR 000001FC 0000-0000-0004-005F MSR 00000300 < FAILED > MSR 0000030A 0000-0A8A-7A9C-B9A3 MSR 0000030B 0000-0B02-1409-E1A8 MSR 00000480 00DA-0400-0000-0012 MSR 00000481 0000-007F-0000-0016 MSR 00000482 FFF9-FFFE-0401-E172 MSR 00000483 007F-FFFF-0003-6DFF MSR 00000484 0000-FFFF-0000-11FF MSR 00000485 0000-0000-3004-81E5 MSR 00000486 0000-0000-8000-0021 MSR 00000487 0000-0000-FFFF-FFFF MSR 00000488 0000-0000-0000-2000 MSR 00000489 0000-0000-0017-27FF MSR 0000048A 0000-0000-0000-002A MSR 0000048B 0000-3CFF-0000-0000 MSR 0000048C 0000-0F01-0633-4141 MSR 0000048D 0000-007F-0000-0016 MSR 0000048E FFF9-FFFE-0400-6172 MSR 0000048F 007F-FFFF-0003-6DFB MSR 00000490 0000-FFFF-0000-11FB MSR 00000601 4010-1414-0000-0100 MSR 00000602 < FAILED > MSR 00000603 0036-0000-0026-2626 MSR 00000604 < FAILED > MSR 00000606 0000-0000-000A-0E03 MSR 0000060A 0000-0000-0000-8842 MSR 0000060B 0000-0000-0000-886A MSR 0000060C 0000-0000-0000-8891 MSR 0000060D 0000-0112-6F25-8F50 MSR 00000610 8042-8118-00DD-80E0 MSR 00000611 0000-0000-5C54-CD00 MSR 00000613 0000-0000-0000-0028 MSR 00000614 0000-0000-0000-0078 MSR 00000618 0054-00DE-0000-0000 MSR 00000619 0000-0000-0C9D-FEDD MSR 0000061B 0000-0000-0000-0000 MSR 0000061C < FAILED > MSR 0000061E 0000-0000-0000-0000 MSR 00000620 0000-0000-0000-081B MSR 00000621 0000-0000-0000-0018 MSR 00000638 0000-0000-0000-0000 MSR 00000639 0000-0000-3456-A10D MSR 0000063A 0000-0000-0000-0009 MSR 0000063B < FAILED > MSR 00000640 0000-0000-0000-0000 MSR 00000641 0000-0000-0132-913C MSR 00000642 0000-0000-0000-000D MSR 00000648 0000-0000-0000-0011 MSR 00000649 0000-0000-0008-005C MSR 0000064A 0000-0000-0018-00C8 MSR 0000064B 0000-0000-0000-0000 MSR 0000064C 0000-0000-0000-0014 MSR 00000690 0000-0000-1020-1000 MSR 000006B0 0000-0000-0000-0000 MSR 000006B1 0000-0000-0000-0000 MSR Registers (CPU #2): MSR 00000017 0018-0000-0000-0000 [PlatID = 6] MSR 0000001B 0000-0000-FEE0-0800 MSR 00000035 0000-0000-0002-0004 MSR 00000048 0000-0000-0000-0000 MSR 00000049 < FAILED > MSR 0000008B 0000-0025-0000-0000 MSR 000000CE 0008-083D-F301-1800 [eD = 0] MSR 000000E7 0000-0C0C-DB55-2249 MSR 000000E8 0000-0B5F-8341-05BE MSR 0000010B < FAILED > MSR 00000194 0000-0000-0001-0000 MSR 00000198 0000-19C9-0000-1800 MSR 00000199 0000-0000-0000-1500 MSR 0000019A 0000-0000-0000-0008 MSR 0000019B 0000-0000-0000-0000 MSR 0000019C 0000-0000-8824-0000 MSR 0000019D 0000-0000-0000-0000 MSR 000001A0 0000-0000-0085-0089 MSR 000001A2 0000-0000-0364-0000 MSR 000001A4 0000-0000-0000-0000 MSR 000001AA 0000-0000-0040-0000 MSR 000001AC < FAILED > MSR 000001AD 0000-0000-1818-181B MSR 000001B0 0000-0000-0000-0006 MSR 000001B1 0000-0000-8824-0000 MSR 000001B2 0000-0000-0000-0000 MSR 000001FC 0000-0000-0004-005F MSR 00000300 < FAILED > MSR 0000030A 0000-0B73-1ACE-9298 MSR 0000030B 0000-0C30-9BA6-6E40 MSR 00000480 00DA-0400-0000-0012 MSR 00000481 0000-007F-0000-0016 MSR 00000482 FFF9-FFFE-0401-E172 MSR 00000483 007F-FFFF-0003-6DFF MSR 00000484 0000-FFFF-0000-11FF MSR 00000485 0000-0000-3004-81E5 MSR 00000486 0000-0000-8000-0021 MSR 00000487 0000-0000-FFFF-FFFF MSR 00000488 0000-0000-0000-2000 MSR 00000489 0000-0000-0017-27FF MSR 0000048A 0000-0000-0000-002A MSR 0000048B 0000-3CFF-0000-0000 MSR 0000048C 0000-0F01-0633-4141 MSR 0000048D 0000-007F-0000-0016 MSR 0000048E FFF9-FFFE-0400-6172 MSR 0000048F 007F-FFFF-0003-6DFB MSR 00000490 0000-FFFF-0000-11FB MSR 00000601 4010-1414-0000-0100 MSR 00000602 < FAILED > MSR 00000603 0036-0000-0026-2626 MSR 00000604 < FAILED > MSR 00000606 0000-0000-000A-0E03 MSR 0000060A 0000-0000-0000-8842 MSR 0000060B 0000-0000-0000-886A MSR 0000060C 0000-0000-0000-8891 MSR 0000060D 0000-0112-6F25-8F50 MSR 00000610 8042-8118-00DD-80E0 MSR 00000611 0000-0000-5C54-CD96 MSR 00000613 0000-0000-0000-0028 MSR 00000614 0000-0000-0000-0078 MSR 00000618 0054-00DE-0000-0000 MSR 00000619 0000-0000-0C9D-FEEA MSR 0000061B 0000-0000-0000-0000 MSR 0000061C < FAILED > MSR 0000061E 0000-0000-0000-0000 MSR 00000620 0000-0000-0000-081B MSR 00000621 0000-0000-0000-0018 MSR 00000638 0000-0000-0000-0000 MSR 00000639 0000-0000-3456-A160 MSR 0000063A 0000-0000-0000-0009 MSR 0000063B < FAILED > MSR 00000640 0000-0000-0000-0000 MSR 00000641 0000-0000-0132-913C MSR 00000642 0000-0000-0000-000D MSR 00000648 0000-0000-0000-0011 MSR 00000649 0000-0000-0008-005C MSR 0000064A 0000-0000-0018-00C8 MSR 0000064B 0000-0000-0000-0000 MSR 0000064C 0000-0000-0000-0014 MSR 00000690 0000-0000-1020-1000 MSR 000006B0 0000-0000-0000-0000 MSR 000006B1 0000-0000-0000-0000 MSR Registers (CPU #3): MSR 00000017 0018-0000-0000-0000 [PlatID = 6] MSR 0000001B 0000-0000-FEE0-0800 MSR 00000035 0000-0000-0002-0004 MSR 00000048 0000-0000-0000-0000 MSR 00000049 < FAILED > MSR 0000008B 0000-0025-0000-0000 MSR 000000CE 0008-083D-F301-1800 [eD = 0] MSR 000000E7 0000-0C2C-F5AA-42E2 MSR 000000E8 0000-0BD1-868A-27C9 MSR 0000010B < FAILED > MSR 00000194 0000-0000-0001-0000 MSR 00000198 0000-19C9-0000-1800 MSR 00000199 0000-0000-0000-1500 MSR 0000019A 0000-0000-0000-0008 MSR 0000019B 0000-0000-0000-0000 MSR 0000019C 0000-0000-8824-0000 MSR 0000019D 0000-0000-0000-0000 MSR 000001A0 0000-0000-0085-0089 MSR 000001A2 0000-0000-0364-0000 MSR 000001A4 0000-0000-0000-0000 MSR 000001AA 0000-0000-0040-0000 MSR 000001AC < FAILED > MSR 000001AD 0000-0000-1818-181B MSR 000001B0 0000-0000-0000-0006 MSR 000001B1 0000-0000-8824-0000 MSR 000001B2 0000-0000-0000-0000 MSR 000001FC 0000-0000-0004-005F MSR 00000300 < FAILED > MSR 0000030A 0000-0BD9-663D-AE6C MSR 0000030B 0000-0C39-FC6D-7010 MSR 00000480 00DA-0400-0000-0012 MSR 00000481 0000-007F-0000-0016 MSR 00000482 FFF9-FFFE-0401-E172 MSR 00000483 007F-FFFF-0003-6DFF MSR 00000484 0000-FFFF-0000-11FF MSR 00000485 0000-0000-3004-81E5 MSR 00000486 0000-0000-8000-0021 MSR 00000487 0000-0000-FFFF-FFFF MSR 00000488 0000-0000-0000-2000 MSR 00000489 0000-0000-0017-27FF MSR 0000048A 0000-0000-0000-002A MSR 0000048B 0000-3CFF-0000-0000 MSR 0000048C 0000-0F01-0633-4141 MSR 0000048D 0000-007F-0000-0016 MSR 0000048E FFF9-FFFE-0400-6172 MSR 0000048F 007F-FFFF-0003-6DFB MSR 00000490 0000-FFFF-0000-11FB MSR 00000601 4010-1414-0000-0100 MSR 00000602 < FAILED > MSR 00000603 0036-0000-0026-2626 MSR 00000604 < FAILED > MSR 00000606 0000-0000-000A-0E03 MSR 0000060A 0000-0000-0000-8842 MSR 0000060B 0000-0000-0000-886A MSR 0000060C 0000-0000-0000-8891 MSR 0000060D 0000-0112-6F25-8F50 MSR 00000610 8042-8118-00DD-80E0 MSR 00000611 0000-0000-5C54-CD96 MSR 00000613 0000-0000-0000-0028 MSR 00000614 0000-0000-0000-0078 MSR 00000618 0054-00DE-0000-0000 MSR 00000619 0000-0000-0C9D-FEEA MSR 0000061B 0000-0000-0000-0000 MSR 0000061C < FAILED > MSR 0000061E 0000-0000-0000-0000 MSR 00000620 0000-0000-0000-081B MSR 00000621 0000-0000-0000-0018 MSR 00000638 0000-0000-0000-0000 MSR 00000639 0000-0000-3456-A160 MSR 0000063A 0000-0000-0000-0009 MSR 0000063B < FAILED > MSR 00000640 0000-0000-0000-0000 MSR 00000641 0000-0000-0132-913C MSR 00000642 0000-0000-0000-000D MSR 00000648 0000-0000-0000-0011 MSR 00000649 0000-0000-0008-005C MSR 0000064A 0000-0000-0018-00C8 MSR 0000064B 0000-0000-0000-0000 MSR 0000064C 0000-0000-0000-0014 MSR 00000690 0000-0000-1020-1000 MSR 000006B0 0000-0000-0000-0000 MSR 000006B1 0000-0000-0000-0000 --------[ 主板 ]-------------------------------------------------------------------------------------------------------- 主板: 主板 ID 主板名称 Acer Aspire VN7-571G 前端总线特性: 总线类型 BCLK 外部频率 100 MHz 有效频率 100 MHz 内存总线特性: 总线类型 Dual DDR3 SDRAM 总线位宽 128 位 DRAM : FSB 24:3 外部频率 800 MHz (DDR) 有效频率 1600 MHz 带宽 [ TRIAL VERSION ] MB/秒 芯片组总线特性: 总线类型 Intel Direct Media Interface v2.0 主板制造商: 公司名称 Acer Inc. 产品信息 http://us.acer.com/ac/en/US/content/group/desktops BIOS 下载 http://us.acer.com/ac/en/US/content/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates BIOS 升级 http://www.aida64.com/goto/?p=biosupdates --------[ 内存 ]-------------------------------------------------------------------------------------------------------- 物理内存: 总数 [ TRIAL VERSION ] 已用 [ TRIAL VERSION ] 可用 3363 MB 使用率 [ TRIAL VERSION ] 虚拟内存: 总数 8119 MB 已用 5778 MB 可用 2342 MB 使用率 71 % Physical Address Extension (PAE): 操作系统支持 是 处理器支持 是 活动 是 --------[ SPD ]--------------------------------------------------------------------------------------------------------- [ DIMM1: Samsung M471B5173DB0-YK0 ] 内存模块: 模块名称 Samsung M471B5173DB0-YK0 序列号 E1A86D76h (1986898145) 制造日期 第42周 / 2014 模块容量 4 GB (1 rank, 8 banks) 模块类型 SO-DIMM 存取类型 DDR3 SDRAM 存取速度 DDR3-1600 (800 MHz) 模块位宽 64 bit 模块电压 1.35 V / 1.5 V 错误检测方式 无 刷新率 一般 (7.8 us) DRAM 制造商 Samsung 内存计时: @ 800 MHz 11-11-11-28 (CL-RCD-RP-RAS) / 39-208-5-12-6-6-24 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 761 MHz 10-10-10-27 (CL-RCD-RP-RAS) / 37-199-5-12-6-6-23 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 685 MHz 9-9-9-24 (CL-RCD-RP-RAS) / 33-179-5-11-6-6-21 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 609 MHz 8-8-8-22 (CL-RCD-RP-RAS) / 30-159-4-10-5-5-19 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 533 MHz 7-7-7-19 (CL-RCD-RP-RAS) / 26-139-4-8-4-4-16 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 457 MHz 6-6-6-16 (CL-RCD-RP-RAS) / 22-119-3-7-4-4-14 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 380 MHz 5-5-5-14 (CL-RCD-RP-RAS) / 19-100-3-6-3-3-12 (RC-RFC-RRD-WR-WTR-RTP-FAW) 内存模块特性: Auto Self Refresh (ASR) 不支持 DLL-Off Mode 支持 Extended Temperature Range 支持 Extended Temperature 1X Refresh Rate 不支持 Module Thermal Sensor 不支持 On-Die Thermal Sensor Readout (ODTS) 不支持 Partial Array Self Refresh (PASR) 不支持 RZQ/6 支持 RZQ/7 支持 内存模块制造商: 公司名称 Samsung 产品信息 https://www.samsung.com/semiconductor/dram [ DIMM3: [ TRIAL VERSION ] ] 内存模块: 模块名称 [ TRIAL VERSION ] 序列号 0C36A4B9h (3114546700) 制造日期 第21周 / 2016 模块容量 4 GB (1 rank, 8 banks) 模块类型 [ TRIAL VERSION ] 存取类型 DDR3 SDRAM 存取速度 DDR3-1600 (800 MHz) 模块位宽 64 bit 模块电压 1.35 V / 1.5 V 错误检测方式 无 刷新率 一般 (7.8 us) DRAM 制造商 Micron 内存计时: @ 800 MHz 11-11-11-28 (CL-RCD-RP-RAS) / 39-208-5-12-6-6-24 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 761 MHz 10-10-10-27 (CL-RCD-RP-RAS) / 37-199-5-12-6-6-23 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 685 MHz 9-9-9-24 (CL-RCD-RP-RAS) / 33-179-5-11-6-6-21 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 609 MHz 8-8-8-22 (CL-RCD-RP-RAS) / 30-159-4-10-5-5-19 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 533 MHz 7-7-7-19 (CL-RCD-RP-RAS) / 26-139-4-8-4-4-16 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 457 MHz 6-6-6-16 (CL-RCD-RP-RAS) / 22-119-3-7-4-4-14 (RC-RFC-RRD-WR-WTR-RTP-FAW) @ 380 MHz 5-5-5-14 (CL-RCD-RP-RAS) / 19-100-3-6-3-3-12 (RC-RFC-RRD-WR-WTR-RTP-FAW) 内存模块特性: Auto Self Refresh (ASR) 不支持 DLL-Off Mode 支持 Extended Temperature Range 支持 Extended Temperature 1X Refresh Rate 不支持 Module Thermal Sensor 不支持 On-Die Thermal Sensor Readout (ODTS) 不支持 Partial Array Self Refresh (PASR) 不支持 RZQ/6 支持 RZQ/7 支持 内存模块制造商: 公司名称 Kingston Technology Corporation 产品信息 https://www.kingston.com/en/memory --------[ 芯片组 ]------------------------------------------------------------------------------------------------------ [ 北桥: Intel Haswell-ULT IMC ] 北桥属性: 北桥 Intel Haswell-ULT IMC 支持内存类型 DDR3-1066, DDR3-1333, DDR3-1600 SDRAM 支持最大内存总数 16 GB 修订 0B 工艺技术 22 nm VT-d 不支持 Extended APIC (x2APIC) 不支持 内存控制器: 类型 Dual Channel (128 位) 启用模式 Dual Channel (128 位) 内存计时: CAS Latency (CL) 11T RAS To CAS Delay (tRCD) 11T RAS Precharge (tRP) 11T RAS Active Time (tRAS) 28T Row Refresh Cycle Time (tRFC) 208T Command Rate (CR) 1T RAS To RAS Delay (tRRD) 5T Write Recovery Time (tWR) 12T Read To Read Delay (tRTR) Same Rank: 4T, Different Rank: 6T, Different DIMM: 6T Read To Write Delay (tRTW) Same Rank: 11T, Different Rank: 11T, Different DIMM: 11T Write To Read Delay (tWTR) 6T, Same Rank: 20T, Different Rank: 4T, Different DIMM: 4T Write To Write Delay (tWTW) Same Rank: 4T, Different Rank: 7T, Different DIMM: 7T Read To Precharge Delay (tRTP) 6T Write To Precharge Delay (tWTP) 24T Four Activate Window Delay (tFAW) 24T Write CAS Latency (tWCL) 8T CKE Min. Pulse Width (tCKE) 4T Refresh Period (tREF) 6240T Round Trip Latency (tRTL) DIMM2: 0T, DIMM4: 0T I/O Latency (tIOL) DIMM1: 0T, DIMM2: 0T, DIMM3: 0T, DIMM4: 0T Burst Length (BL) 8 错误修正: ECC 不支持 ChipKill ECC 不支持 RAID 不支持 ECC Scrubbing 不支持 内存插槽: DRAM #1 插槽 4 GB (DDR3 SDRAM) DRAM #2 插槽 4 GB (DDR3 SDRAM) 集成图形控制器: 图形控制器类型 Intel HD Graphics 4400 图形控制器状态 已启用 帧缓冲大小 32 MB 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 南桥: [ TRIAL VERSION ] ] 南桥属性: 南桥 [ TRIAL VERSION ] 修订 / Stepping 04 / B2 工艺技术 32 nm 核心电压 1.05 V High Definition Audio: 编解码器名称 Realtek ALC283 编解码器 ID 10EC0283h / 1025091Bh 编解码器修订 1000h 编解码器类型 Audio PCI Express 控制器: PCI-E 2.0 x1 port #3 正使用 @ x1 (Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter) PCI-E 2.0 x1 port #4 正使用 @ x1 (Atheros AR5BWB222 Wireless Network Adapter) PCI-E 2.0 x4 port #5 正使用 @ x4 (nVIDIA GeForce GTX 850M (Acer) Video Adapter) 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ BIOS ]-------------------------------------------------------------------------------------------------------- BIOS 属性: BIOS 类型 Insyde UEFI BIOS 版本 V1.08 SMBIOS Version 2.8 UEFI Boot 否 Secure Boot 不支持 系统 BIOS 日期 09/12/2014 视频 BIOS 日期 08/06/14 BIOS 制造商: 公司名称 Insyde Software Corp. 产品信息 http://www.insydesw.com/products BIOS 升级 http://www.aida64.com/goto/?p=biosupdates --------[ ACPI ]-------------------------------------------------------------------------------------------------------- [ APIC: Multiple APIC Description Table ] ACPI 表属性: ACPI 签名 APIC 表描述 Multiple APIC Description Table 内存地址 9CFF6000h 表长 140 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h Local APIC Address FEE00000h Processor Local APIC: ACPI Processor ID 01h APIC ID 00h 状态 已启用 Processor Local APIC: ACPI Processor ID 02h APIC ID 01h 状态 已启用 Processor Local APIC: ACPI Processor ID 03h APIC ID 02h 状态 已启用 Processor Local APIC: ACPI Processor ID 04h APIC ID 03h 状态 已启用 Processor Local APIC: ACPI Processor ID 05h APIC ID 00h 状态 已禁用 Processor Local APIC: ACPI Processor ID 06h APIC ID 00h 状态 已禁用 Processor Local APIC: ACPI Processor ID 07h APIC ID 00h 状态 已禁用 Processor Local APIC: ACPI Processor ID 08h APIC ID 00h 状态 已禁用 I/O APIC: I/O APIC ID 02h I/O APIC Address FEC00000h Global System Interrupt Base 00000000h Interrupt Source Override: 总线 ISA 来源 IRQ0 Global System Interrupt 00000002h 极性 Conforms to the specifications of the bus Trigger Mode Conforms to the specifications of the bus Interrupt Source Override: 总线 ISA 来源 IRQ9 Global System Interrupt 00000009h 极性 Active High Trigger Mode Level-Triggered [ ASF!: Alert Standard Format Table ] ACPI 表属性: ACPI 签名 ASF! 表描述 Alert Standard Format Table 内存地址 9CFF9000h 表长 160 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h ASF_INFO: Min Watchdog Reset Value 5 秒 Min ASF Sensor Interpoll Wait Time 1275 msec System ID 0001h IANA Manufacturer ID 00-00-01-57h ASF_ALRT: Number of Alerts 3 Array Element Length 12 ASF_RCTL: Number of Controls 4 Array Element Length 4 ASF_RMCP: Remote Control Capabilities 20-F8-00-00-00-13-F0h RMCP Boot Options Completion Code 00h (Successful) RMCP IANA Enterprise ID 00-00-00-00h RMCP Special Command 00h RMCP Special Command Parameter 0000h RMCP Boot Options 0000h RMCP OEM Parameters 0000h [ ASPT: ACPI System Performance Tuning Table ] ACPI 表属性: ACPI 签名 ASPT 表描述 ACPI System Performance Tuning Table 内存地址 9CFDC000h 表长 52 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h SPTT Address 00000000-00000000h AMRT Address 00000000-00000000h [ BOOT: Simple Boot Flag Table ] ACPI 表属性: ACPI 签名 BOOT 表描述 Simple Boot Flag Table 内存地址 9CFDF000h 表长 40 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h [ CSRT: Core System Resource Table ] ACPI 表属性: ACPI 签名 CSRT 表描述 Core System Resource Table 内存地址 9CFE2000h 表长 196 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h [ DBGP: Debug Port Table ] ACPI 表属性: ACPI 签名 DBGP 表描述 Debug Port Table 内存地址 9CFDB000h 表长 52 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h [ DSDT: Differentiated System Description Table ] ACPI 表属性: ACPI 签名 DSDT 表描述 Differentiated System Description Table 内存地址 00000000-9CFE3000h 表长 73666 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000000h Creator ID 1025 Creator Revision 00040000h nVIDIA SLI: SLI Certification 不存在 PCI 0-0-0-0 (Direct I/O) 8086-0A04 (Intel) PCI 0-0-0-0 (HAL) 8086-0A04 (Intel) Lucid Virtu: Virtu Certification 不存在 [ FACP: Fixed ACPI Description Table ] ACPI 表属性: ACPI 签名 FACP 表描述 Fixed ACPI Description Table 内存地址 9CFF8000h 表长 268 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h FACS Address 9CFB9000h / 00000000-00000000h DSDT Address 9CFE3000h / 00000000-9CFE3000h SMI Command Port 000000B2h PM Timer 00001808h [ FACS: Firmware ACPI Control Structure ] ACPI 表属性: ACPI 签名 FACS 表描述 Firmware ACPI Control Structure 内存地址 9CFB9000h 表长 64 字节 Hardware Signature 00000000h Waking Vector 00000000h Global Lock 00000000h [ FBPT: Firmware Basic Boot Performance Table ] ACPI 表属性: ACPI 签名 FBPT 表描述 Firmware Basic Boot Performance Table 内存地址 00000000-9CFFCF98h 表长 56 字节 [ FPDT: Firmware Performance Data Table ] ACPI 表属性: ACPI 签名 FPDT 表描述 Firmware Performance Data Table 内存地址 9CFFB000h 表长 68 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h FBPT Address 00000000-9CFFCF98h S3PT Address 00000000-9CFFCF18h [ HPET: IA-PC High Precision Event Timer Table ] ACPI 表属性: ACPI 签名 HPET 表描述 IA-PC High Precision Event Timer Table 内存地址 9CFF7000h 表长 56 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h HPET Address 00000000-FED00000h 制造商 ID 8086h 修订 01h Number of Timers 3 Counter Size 64 位 Minimum Clock Ticks 128 Page Protection No Guarantee OEM Attribute 0h LegacyReplacement IRQ Routing 支持 [ LPIT: Low Power Idle Table ] ACPI 表属性: ACPI 签名 LPIT 表描述 Low Power Idle Table 内存地址 9CFDE000h 表长 148 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000000h Creator ID 1025 Creator Revision 00040000h Native C-State Instruction Entry Trigger: 唯一识别码 0 状态 已启用 Minimum Residency 30000 us Worst Case Exit Latency 3000 us Residency Counter MSR 00000632h Residency Counter Frequency TSC Native C-State Instruction Entry Trigger: 唯一识别码 1 状态 已启用 Minimum Residency 30000 us Worst Case Exit Latency 3000 us Residency Counter MSR 00000632h Residency Counter Frequency TSC [ MCFG: Memory Mapped Configuration Space Base Address Description Table ] ACPI 表属性: ACPI 签名 MCFG 表描述 Memory Mapped Configuration Space Base Address Description Table 内存地址 9CFF5000h 表长 60 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h Config Space Address 00000000-E0000000h PCI Segment 0000h Start Bus Number 00h End Bus Number FFh [ MSDM: Microsoft Data Management Table ] ACPI 表属性: ACPI 签名 MSDM 表描述 Microsoft Data Management Table 内存地址 9CFFA000h 表长 85 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h SLS Version 1 SLS Data Type 1 SLS Data Length 29 SLS Data W8FD8-7NG49-2H6T2-2B2T4-R3JK7 [ RSD PTR: Root System Description Pointer ] ACPI 表属性: ACPI 签名 RSD PTR 表描述 Root System Description Pointer 内存地址 000FE020h 表长 36 字节 OEM ID ACRSYS RSDP Revision 2 (ACPI 2.0+) RSDT Address 9CFFE124h XSDT Address 00000000-9CFFE210h [ RSDT: Root System Description Table ] ACPI 表属性: ACPI 签名 RSDT 表描述 Root System Description Table 内存地址 9CFFE124h 表长 108 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator Revision 01000013h RSDT Entry #0 9CFF8000h (FACP) RSDT Entry #1 9CFFD000h (UEFI) RSDT Entry #2 9CFFB000h (FPDT) RSDT Entry #3 9CFFA000h (MSDM) RSDT Entry #4 9CFF9000h (ASF!) RSDT Entry #5 9CFF7000h (HPET) RSDT Entry #6 9CFF6000h (APIC) RSDT Entry #7 9CFF5000h (MCFG) RSDT Entry #8 9CFE1000h (SSDT) RSDT Entry #9 9CFDF000h (BOOT) RSDT Entry #10 9CFDE000h (LPIT) RSDT Entry #11 9CFDC000h (ASPT) RSDT Entry #12 9CFDB000h (DBGP) RSDT Entry #13 9CFD3000h (SSDT) RSDT Entry #14 9CFD2000h (SSDT) RSDT Entry #15 9CFCE000h (SSDT) RSDT Entry #16 9CFCA000h (SSDT) RSDT Entry #17 9CFE2000h (CSRT) [ S3PT: S3 Performance Table ] ACPI 表属性: ACPI 签名 S3PT 表描述 S3 Performance Table 内存地址 00000000-9CFFCF18h 表长 32 字节 [ SSDT: Secondary System Description Table ] ACPI 表属性: ACPI 签名 SSDT 表描述 Secondary System Description Table 内存地址 9CFCA000h 表长 11249 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00001000h Creator ID 1025 Creator Revision 00040000h [ SSDT: Secondary System Description Table ] ACPI 表属性: ACPI 签名 SSDT 表描述 Secondary System Description Table 内存地址 9CFCE000h 表长 13533 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00003000h Creator ID 1025 Creator Revision 00040000h [ SSDT: Secondary System Description Table ] ACPI 表属性: ACPI 签名 SSDT 表描述 Secondary System Description Table 内存地址 9CFD2000h 表长 2776 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00003000h Creator ID 1025 Creator Revision 00040000h [ SSDT: Secondary System Description Table ] ACPI 表属性: ACPI 签名 SSDT 表描述 Secondary System Description Table 内存地址 9CFD3000h 表长 1337 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00003000h Creator ID 1025 Creator Revision 00040000h [ SSDT: Secondary System Description Table ] ACPI 表属性: ACPI 签名 SSDT 表描述 Secondary System Description Table 内存地址 9CFE1000h 表长 2099 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00001000h Creator ID 1025 Creator Revision 00040000h [ UEFI: UEFI ACPI Boot Optimization Table ] ACPI 表属性: ACPI 签名 UEFI 表描述 UEFI ACPI Boot Optimization Table 内存地址 9CFFD000h 表长 566 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator ID 1025 Creator Revision 00040000h [ XSDT: Extended System Description Table ] ACPI 表属性: ACPI 签名 XSDT 表描述 Extended System Description Table 内存地址 00000000-9CFFE210h 表长 180 字节 OEM ID ACRSYS OEM Table ID ACRPRDCT OEM Revision 00000001h Creator Revision 01000013h XSDT Entry #0 00000000-9CFF8000h (FACP) XSDT Entry #1 00000000-9CFFD000h (UEFI) XSDT Entry #2 00000000-9CFFB000h (FPDT) XSDT Entry #3 00000000-9CFFA000h (MSDM) XSDT Entry #4 00000000-9CFF9000h (ASF!) XSDT Entry #5 00000000-9CFF7000h (HPET) XSDT Entry #6 00000000-9CFF6000h (APIC) XSDT Entry #7 00000000-9CFF5000h (MCFG) XSDT Entry #8 00000000-9CFE1000h (SSDT) XSDT Entry #9 00000000-9CFDF000h (BOOT) XSDT Entry #10 00000000-9CFDE000h (LPIT) XSDT Entry #11 00000000-9CFDC000h (ASPT) XSDT Entry #12 00000000-9CFDB000h (DBGP) XSDT Entry #13 00000000-9CFD3000h (SSDT) XSDT Entry #14 00000000-9CFD2000h (SSDT) XSDT Entry #15 00000000-9CFCE000h (SSDT) XSDT Entry #16 00000000-9CFCA000h (SSDT) XSDT Entry #17 00000000-9CFE2000h (CSRT) --------[ 操作系统 ]---------------------------------------------------------------------------------------------------- 操作系统: 操作系统名称 Microsoft Windows 10 Pro 操作系统语言 中文(简体,中国) 操作系统安装语言 中文(简体,中国) 操作系统核心(Kernel)类型 Multiprocessor Free (64-bit) 操作系统版本 10.0.19041.264 (Win10 20H1 [2004] May 2020 Update) 操作系统版本升级(SP) [ TRIAL VERSION ] 操作系统安装日期 2022/4/20 操作系统根目录 C:\Windows 授权信息: 注册人 Microsoft 注册组织 Windows 10 产品 ID 00331-10000-00001-AA812 产品密钥 W269N- [ TRIAL VERSION ] 产品激活 (WPA) 不需求 当前状态: 计算机名称 XTT-20220421VKV 用户名称 Administrator 登录域 [ TRIAL VERSION ] 已运行时间 35501 秒 - (0 天 9 小时 51 分 41 秒) 组件版本: Common Controls 6.16 Internet Explorer 更新 [ TRIAL VERSION ] Windows Mail - Windows Media Player 12.0.19041.1645 (WinBuild.160101.0800) Windows Messenger - MSN Messenger - Internet Information Services (IIS) [ TRIAL VERSION ] .NET Framework 4.8.4084.0 built by: NET48REL1 Novell 客户端 - DirectX DirectX 12.0 OpenGL 10.0.19041.1 (WinBuild.160101.0800) ASPI - 操作系统特征: 调试版本 否 DBCS 版本 是 域控制器 否 安全性提供 否 网络提供 是 远程部分 否 安全模式 否 低速处理器 否 终端服务 是 --------[ 进程 ]-------------------------------------------------------------------------------------------------------- 2345PinyinCloud.exe C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\2345PinyinCloud.exe 32 位 76304 KB 11 KB 360bpsvc.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\components\guard\360bpsvc.exe 32 位 7352 KB 6 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 7316 KB 11 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 45792 KB 34 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 41184 KB 32 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 6192 KB 23 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 54176 KB 63 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 33264 KB 34 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 20680 KB 16 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 71148 KB 30 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 28244 KB 55 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 35656 KB 51 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 44748 KB 43 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 200 MB 86 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 6492 KB 14 KB 360se.exe C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 32 位 226 MB 156 KB 360tray.exe D:\Program Files\360Safe\safemon\360tray.exe 32 位 60352 KB 234 KB account_service.exe D:\Program Files\ludashi\Utils\account_service.exe 32 位 20892 KB 7 KB aida64.exe D:\Program Files\AIDA64 Extreme\aida64.exe 32 位 104 MB 82 KB ApplicationFrameHost.exe C:\Windows\system32\ApplicationFrameHost.exe 64 位 25776 KB 21 KB audiodg.exe C:\Windows\system32\AUDIODG.EXE 64 位 18240 KB 10 KB browser_broker.exe C:\Windows\system32\browser_broker.exe 64 位 8520 KB 1 KB Calculator.exe C:\Program Files\WindowsApps\Microsoft.WindowsCalculator_10.2103.8.0_x64__8wekyb3d8bbwe\Calculator.exe 64 位 96 KB 22 KB CefSharp.BrowserSubprocess.exe C:\Program Files (x86)\HDDog2022\libs\cefsharp\CefSharp.BrowserSubprocess.exe 32 位 40116 KB 50 KB CefSharp.BrowserSubprocess.exe C:\Program Files (x86)\HDDog2022\libs\cefsharp\CefSharp.BrowserSubprocess.exe 32 位 29196 KB 15 KB CefSharp.BrowserSubprocess.exe C:\Program Files (x86)\HDDog2022\libs\cefsharp\CefSharp.BrowserSubprocess.exe 32 位 87 MB 59 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 64584 KB 29 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 52480 KB 37 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 67468 KB 59 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 39112 KB 29 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 48936 KB 37 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 46660 KB 41 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 47312 KB 34 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 41076 KB 39 KB CefView.exe D:\Program Files\ludashi\Utils\cef\CefView.exe 32 位 33420 KB 34 KB ChsIME.exe C:\Windows\System32\InputMethod\CHS\ChsIME.exe 64 位 16 KB 3 KB ChsIME.exe C:\Windows\System32\InputMethod\CHS\ChsIME.exe 64 位 16 KB 1 KB ComputerZ_CN.exe D:\Program Files\ludashi\ComputerZ_CN.exe 32 位 71428 KB 46 KB ComputerZService.exe D:\Program Files\ludashi\ComputerZService.exe 32 位 18960 KB 85 KB ComputerzService_x64.exe D:\Program Files\ludashi\ComputerZService_x64.exe 64 位 2036 KB 6 KB ComputerZTray.exe D:\Program Files\ludashi\ComputerZTray.exe 32 位 44020 KB 30 KB csrss.exe 64 位 2372 KB 1 KB csrss.exe 64 位 4860 KB 2 KB ctfmon.exe C:\Windows\system32\ctfmon.exe 64 位 24904 KB 20 KB dllhost.exe C:\Windows\system32\DllHost.exe 64 位 11728 KB 4 KB dwm.exe C:\Windows\system32\dwm.exe 64 位 77828 KB 97 KB explorer.exe C:\Windows\explorer.exe 64 位 108 MB 133 KB FaceTool_2345Pinyin.exe C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\FaceTool_2345Pinyin.exe 32 位 13228 KB 8 KB fontdrvhost.exe C:\Windows\system32\fontdrvhost.exe 64 位 16 KB 1 KB fontdrvhost.exe C:\Windows\system32\fontdrvhost.exe 64 位 20008 KB 13 KB GameChrome.exe D:\Program Files\360Safe\SoftMgr\GameChrome.exe 32 位 109 MB 26 KB GameChrome.exe D:\Program Files\360Safe\SoftMgr\GameChrome.exe 32 位 90 MB 37 KB GameChrome.exe D:\Program Files\360Safe\SoftMgr\GameChrome.exe 32 位 46248 KB 21 KB GameChrome.exe D:\Program Files\360Safe\SoftMgr\GameChrome.exe 32 位 24224 KB 10 KB GameChrome.exe D:\Program Files\360Safe\SoftMgr\GameChrome.exe 32 位 47352 KB 23 KB GameChrome.exe D:\Program Files\360Safe\SoftMgr\GameChrome.exe 32 位 65928 KB 30 KB HDDog.exe C:\Program Files (x86)\HDDog2022\HDDog.exe 32 位 87100 KB 86 KB hdw_disk_scan.exe D:\Program Files\ludashi\Hardware\hdw_disk_scan.exe 32 位 2856 KB 2 KB HelpPane.exe C:\Windows\helppane.exe 64 位 24132 KB 4 KB igfxCUIService.exe C:\Windows\system32\igfxCUIService.exe 64 位 1892 KB 2 KB igfxEM.exe C:\Windows\system32\igfxEM.exe 64 位 364 KB 3 KB igfxHK.exe C:\Windows\system32\igfxHK.exe 64 位 336 KB 3 KB igfxTray.exe C:\Windows\system32\igfxTray.exe 64 位 2320 KB 3 KB Ldshelper.exe D:\Program Files\ludashi\Utils\LdsHelper.exe 32 位 3468 KB 2 KB lsass.exe C:\Windows\system32\lsass.exe 64 位 10424 KB 7 KB MicrosoftEdge.exe C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe 64 位 55192 KB 25 KB MicrosoftEdgeCP.exe C:\Windows\System32\MicrosoftEdgeCP.exe 64 位 24028 KB 5 KB MicrosoftEdgeSH.exe C:\Windows\system32\MicrosoftEdgeSH.exe 64 位 12328 KB 3 KB MultiTip.exe C:\Users\Administrator\AppData\Roaming\360safe\softmgr\MultiTip.exe 32 位 8384 KB 13 KB NavPlugin.exe D:\Program Files\ludashi\utils\navplugin.exe 32 位 10192 KB 10 KB NVDisplay.Container.exe C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe 64 位 3672 KB 4 KB NVDisplay.Container.exe C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe 64 位 7920 KB 25 KB Pinyin_2345Svc.exe C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 32 位 12392 KB 19 KB PowerRemind.exe C:\Program Files (x86)\PowerShadow\App\PowerRemind.exe 64 位 10168 KB 6 KB PresentationFontCache.exe C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe 64 位 3756 KB 26 KB PsFunctionService.exe C:\Program Files (x86)\PowerShadow\App\PsFunctionService.exe 64 位 56 KB 1 KB qmbsrv.exe 32 位 1368 KB 1 KB QQ.exe C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe 32 位 165 MB 126 KB QQGameService.exe C:\Program Files (x86)\Tencent\QQGameTempest\MiniGames\QQGameService.exe 32 位 32 KB 1 KB QQGameServiceHelper.exe C:\Program Files (x86)\Tencent\QQGameTempest\Hall.57563\QQGameServiceHelper.exe 32 位 2980 KB 3 KB QQPCRealTimeSpeedup.exe C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCRealTimeSpeedup.exe 32 位 18736 KB 33 KB QQPCRTP.exe C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCRTP.exe 32 位 52772 KB 115 KB QQPCTray.exe C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 32 位 59680 KB 155 KB QQPCTxtExt.exe C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTxtExt.exe 32 位 604 KB 1 KB Registry 64 位 24404 KB 3 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 9304 KB 2 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 13292 KB 3 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 232 KB 1 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 15252 KB 4 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 4876 KB 2 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 12456 KB 3 KB RuntimeBroker.exe C:\Windows\System32\RuntimeBroker.exe 64 位 18052 KB 26 KB SDIS.exe D:\Program Files\360Safe\SoftMgr\SDIS.exe 32 位 40988 KB 38 KB SearchApp.exe C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe 64 位 47588 KB 87 KB service.exe C:\Program Files (x86)\KuGou\KGMusic\9.1.75.23834\service.exe 32 位 32 KB 1 KB services.exe 64 位 6332 KB 5 KB SgrmBroker.exe 64 位 4692 KB 4 KB ShellExperienceHost.exe C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe 64 位 41216 KB 14 KB sihost.exe C:\Windows\system32\sihost.exe 64 位 16728 KB 6 KB SimpleIME.exe D:\Program Files\360Safe\Utils\SimpleIME.exe 32 位 17520 KB 4 KB smss.exe 64 位 460 KB 1 KB SoftMgr.exe D:\Program Files\360Safe\softmgr\SoftMgr.exe 32 位 75464 KB 125 KB SoftMgrLite.exe D:\Program Files\360Safe\SoftMgr\SML\SoftMgrLite.exe 32 位 15556 KB 26 KB splwow64.exe C:\Windows\splwow64.exe 64 位 10992 KB 2 KB spoolsv.exe C:\Windows\System32\spoolsv.exe 64 位 3688 KB 6 KB sppsvc.exe 64 位 16424 KB 6 KB StartMenuExperienceHost.exe C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe 64 位 34708 KB 17 KB svchost.exe C:\Windows\SysWOW64\svchost.exe 32 位 10344 KB 4 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 2472 KB 3 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 8832 KB 6 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 848 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2804 KB 2 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 876 KB 5 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3040 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3844 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 2032 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 7396 KB 5 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 4576 KB 3 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 1024 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 988 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3940 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 1688 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 1040 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2104 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 8404 KB 13 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 4696 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 7876 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3136 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 1040 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 8316 KB 4 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 4532 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 5380 KB 5 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3476 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 952 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 8032 KB 4 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 4296 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 13964 KB 11 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 916 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3268 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2272 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 78176 KB 76 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 1108 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 944 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 4764 KB 4 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 6716 KB 4 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 6996 KB 3 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 6724 KB 7 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 1476 KB 2 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 2404 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2768 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3052 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 5696 KB 5 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3216 KB 2 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 2500 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 1784 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2160 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 3652 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 1812 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 15236 KB 6 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 9068 KB 4 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 31408 KB 42 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 2292 KB 3 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 840 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 768 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 12536 KB 3 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 5680 KB 3 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 6984 KB 2 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 848 KB 1 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 1492 KB 3 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 7696 KB 4 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 652 KB 0 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 13004 KB 10 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2488 KB 1 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2384 KB 2 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 4316 KB 5 KB svchost.exe C:\Windows\system32\svchost.exe 64 位 2064 KB 2 KB svchost.exe C:\Windows\System32\svchost.exe 64 位 1248 KB 2 KB System Idle Process 8 KB 0 KB System 64 位 24 KB 0 KB SystemSettings.exe C:\Windows\ImmersiveControlPanel\SystemSettings.exe 64 位 108 KB 23 KB taskhostw.exe C:\Windows\system32\taskhostw.exe 64 位 11036 KB 7 KB TextInputHost.exe C:\Windows\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\InputApp\TextInputHost.exe 64 位 28288 KB 18 KB TXPlatform.exe C:\Program Files (x86)\Tencent\QQ\Bin\TXPlatform.exe 32 位 3712 KB 4 KB unsecapp.exe C:\Windows\system32\wbem\unsecapp.exe 64 位 3792 KB 2 KB wdswfsafe.exe D:\Program Files\360Safe\safemon\wdswfsafe.exe 32 位 4880 KB 10 KB web_host.exe D:\Program Files\ludashi\Utils\web_host.exe 32 位 7536 KB 7 KB wininit.exe 64 位 1524 KB 1 KB winlogon.exe C:\Windows\system32\winlogon.exe 64 位 1336 KB 2 KB WmiPrvSE.exe C:\Windows\sysWOW64\wbem\wmiprvse.exe 64 位 1748 KB 3 KB WmiPrvSE.exe C:\Windows\sysWOW64\wbem\wmiprvse.exe 64 位 10908 KB 3 KB WmiPrvSE.exe C:\Windows\system32\wbem\wmiprvse.exe 32 位 14760 KB 9 KB YourPhone.exe C:\Program Files\WindowsApps\Microsoft.YourPhone_1.22032.179.0_x64__8wekyb3d8bbwe\YourPhone.exe 64 位 388 KB 33 KB ZhuDongFangYu.exe 32 位 11552 KB 18 KB --------[ 系统驱动程序 ]------------------------------------------------------------------------------------------------ 1394ohci 1394 OHCI Compliant Host Controller 1394ohci.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 360AntiHacker 360Safe Anti Hacker Service 360AntiHacker64.sys 1.0.0.1201 内核(Kernel)驱动程序 正在运行 360AntiHijack 360Safe Anti Hijack Service 360AntiHijack64.sys 1.0.0.1093 内核(Kernel)驱动程序 正在运行 360AntiSteal 360Safe Anti Steal File Service 360AntiSteal64.sys 1.0.0.1011 内核(Kernel)驱动程序 正在运行 360Box64 360Box mini-filter driver 360Box64.sys 2.1.0.1363 文件系统驱动程序 正在运行 360Camera 360Safe Camera Filter Service 360Camera64.sys 1.0.0.1021 内核(Kernel)驱动程序 正在运行 360elam64 360elam driver 360elam64.sys 1.0.0.1030 内核(Kernel)驱动程序 已停止 360FsFlt 360FsFlt mini-filter driver 360FsFlt.sys 6.9.1.2289 文件系统驱动程序 正在运行 360Hvm 360Safe HVM 360Hvm64.sys 2.0.0.1145 内核(Kernel)驱动程序 正在运行 360netmon 360netmon 360netmon.sys 2.1.11.5232 内核(Kernel)驱动程序 正在运行 360qpesv 360qpesv driver 360qpesv64.sys 1.0.2.2164 内核(Kernel)驱动程序 正在运行 360reskit64 360reskit driver 360reskit64.sys 1.0.0.1064 内核(Kernel)驱动程序 正在运行 360Sensor 360Sensor 360Sensor64.sys 1.0.0.1041 内核(Kernel)驱动程序 正在运行 ACPI Microsoft ACPI Driver ACPI.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 AcpiDev ACPI 设备驱动程序 AcpiDev.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 acpiex Microsoft ACPIEx Driver acpiex.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 acpipagr ACPI 处理器聚合器驱动程序 acpipagr.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 AcpiPmi ACPI 电源表驱动程序 acpipmi.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 acpitime ACPI 唤醒警报驱动程序 acpitime.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Acx01000 Acx01000 Acx01000.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 AFD Ancillary Function Driver for Winsock afd.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 afunix afunix afunix.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 ahcache Application Compatibility Cache ahcache.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 AIDA64Driver FinalWire AIDA64 Kernel Driver kerneld.x64 内核(Kernel)驱动程序 正在运行 AmdK8 AMD K8 Processor Driver amdk8.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 AmdPPM AMD Processor Driver amdppm.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 amdxata amdxata amdxata.sys 1.1.3.277 内核(Kernel)驱动程序 已停止 AntiRkX64 AntiRkX64 AntiRKX64_ev.sys 内核(Kernel)驱动程序 已停止 AppID AppID 驱动程序 appid.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 applockerfltr Smartlocker 筛选器驱动程序 applockerfltr.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 AppvStrm AppvStrm AppvStrm.sys 10.0.19041.1 文件系统驱动程序 已停止 AppvVemgr AppvVemgr AppvVemgr.sys 10.0.19041.1 文件系统驱动程序 已停止 AppvVfs AppvVfs AppvVfs.sys 10.0.19041.1 文件系统驱动程序 已停止 AsyncMac RAS 异步媒体驱动程序 asyncmac.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 atapi IDE 通道 atapi.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 athr Qualcomm Atheros Extensible Wireless LAN device driver athw8x.sys 3.0.2.201 内核(Kernel)驱动程序 正在运行 b06bdrv QLogic 网络适配器 VBD bxvbda.sys 7.12.31.105 内核(Kernel)驱动程序 已停止 bam Background Activity Moderator Driver bam.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 BAPIDRV BAPIDRV BAPIDRV64.sys 2.0.0.2027 内核(Kernel)驱动程序 正在运行 BasicDisplay BasicDisplay BasicDisplay.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 BasicRender BasicRender BasicRender.sys 10.0.19041.84 内核(Kernel)驱动程序 正在运行 Beep Beep 内核(Kernel)驱动程序 正在运行 bindflt Windows Bind Filter Driver bindflt.sys 10.0.19041.1 文件系统驱动程序 正在运行 bowser 浏览器 bowser.sys 10.0.19041.1 文件系统驱动程序 正在运行 BtFilter BtFilter btfilter.sys 10.0.1.4 内核(Kernel)驱动程序 正在运行 BthA2dp Microsoft Bluetooth A2dp driver BthA2dp.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 BthEnum 蓝牙枚举器服务 BthEnum.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 BthHFEnum Microsoft Bluetooth 免提配置文件驱动程序 bthhfenum.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 BthLEEnum 蓝牙低能耗驱动程序 Microsoft.Bluetooth.Legacy.LEEnumerator.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 BthMini 蓝牙无线收发器驱动程序 BTHMINI.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 BTHMODEM 蓝牙调制解调器通信驱动程序 bthmodem.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 BthPan 蓝牙设备(个人区域网) bthpan.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 BTHPORT 蓝牙端口驱动程序 BTHport.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 BTHUSB 蓝牙无线电收发器 USB 驱动程序 BTHUSB.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 bttflt Microsoft Hyper-V VHDPMEM BTT 筛选器 bttflt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 buttonconverter 针对便携式设备控制装置的服务 buttonconverter.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 CAD 充电均衡驱动程序 CAD.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 cdfs CD/DVD File System Reader cdfs.sys 10.0.19041.1 文件系统驱动程序 已停止 cdrom CD-ROM Driver cdrom.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 cht4iscsi cht4iscsi cht4sx64.sys 6.11.4.100 内核(Kernel)驱动程序 已停止 cht4vbd Chelsio 虚拟总线驱动程序 cht4vx64.sys 6.11.4.100 内核(Kernel)驱动程序 已停止 CimFS CimFS 文件系统驱动程序 正在运行 circlass Consumer IR Devices circlass.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 CldFlt Windows Cloud Files Filter Driver cldflt.sys 10.0.19041.21 文件系统驱动程序 正在运行 CLFS Common Log (CLFS) CLFS.sys 10.0.19041.264 内核(Kernel)驱动程序 正在运行 CmBatt Microsoft ACPI 控制方法电池驱动程序 CmBatt.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 CNG CNG cng.sys 10.0.19041.264 内核(Kernel)驱动程序 正在运行 cnghwassist CNG Hardware Assist algorithm provider cnghwassist.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 CompositeBus 复合总线枚举器驱动程序 CompositeBus.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 ComputerZ_x64 ComputerZ_x64 ComputerZ_x64.sys 1.1020.1030.1217 内核(Kernel)驱动程序 正在运行 condrv Console Driver condrv.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 CSC Offline Files Driver csc.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 dam Desktop Activity Moderator Driver dam.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Dfsc DFS Namespace Client Driver dfsc.sys 10.0.19041.1 文件系统驱动程序 正在运行 disk 磁盘驱动程序 disk.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 dmvsc dmvsc dmvsc.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 drmkaud Microsoft Trusted Audio Drivers drmkaud.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 DsArk DsArk DsArk64.sys 1.1.0.1219 内核(Kernel)驱动程序 正在运行 DXGKrnl LDDM Graphics Subsystem dxgkrnl.sys 10.0.19041.207 内核(Kernel)驱动程序 正在运行 e1i65x64 Intel(R) PRO/1000 PCI Express Network Connection Driver I e1i65x64.sys 12.17.10.8 内核(Kernel)驱动程序 已停止 ebdrv QLogic 10 Gigabit Ethernet Adapter VBD evbda.sys 7.13.65.105 内核(Kernel)驱动程序 已停止 EhStorClass Enhanced Storage Filter Driver EhStorClass.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 EhStorTcgDrv 支持 IEEE 1667 和 TCG 协议的 Microsoft 存储设备驱动程序 EhStorTcgDrv.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 ErrDev Microsoft Hardware Error Device Driver errdev.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 exfat exFAT File System Driver 文件系统驱动程序 已停止 fastfat FAT12/16/32 File System Driver 文件系统驱动程序 已停止 fdc 软盘控制器驱动程序 fdc.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 FileCrypt FileCrypt filecrypt.sys 10.0.19041.1 文件系统驱动程序 正在运行 FileInfo File Information FS MiniFilter fileinfo.sys 10.0.19041.1 文件系统驱动程序 正在运行 Filetrace Filetrace filetrace.sys 10.0.19041.1 文件系统驱动程序 已停止 flpydisk 软盘驱动程序 flpydisk.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 FltMgr FltMgr fltmgr.sys 10.0.19041.264 文件系统驱动程序 正在运行 FsDepends File System Dependency Minifilter FsDepends.sys 10.0.19041.1 文件系统驱动程序 已停止 fvevol BitLocker Drive Encryption Filter Driver fvevol.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 gencounter Microsoft Hyper-V 生成计数器 vmgencounter.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 genericusbfn 通用 USB 函数类 genericusbfn.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 GPIOClx0101 Microsoft GPIO Class Extension Driver msgpioclx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 GpuEnergyDrv GPU Energy Driver gpuenergydrv.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 HardwareProtect HardwareProtect HardwareProtect_x64.sys 6.5022.3080.310 内核(Kernel)驱动程序 正在运行 HdAudAddService 用于 High Definition Audio 服务的 Microsoft 1.1 UAA 函数驱动程序 HdAudio.sys 10.0.19041.264 内核(Kernel)驱动程序 已停止 HDAudBus 用于 High Definition Audio 的 Microsoft UAA 总线驱动程序 HDAudBus.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 HidBatt HID UPS 电池驱动程序 HidBatt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 HidBth Microsoft Bluetooth HID Miniport hidbth.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 hidi2c Microsoft I2C HID 微型端口驱动程序 hidi2c.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 hidinterrupt 通过中断实施的 HID 按钮的通用驱动程序 hidinterrupt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 HidIr Microsoft Infrared HID Driver hidir.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 hidspi Microsoft SPI HID 微型端口驱动程序 hidspi.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 HidUsb Microsoft HID Class Driver hidusb.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 HTTP HTTP Service HTTP.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 hvcrash hvcrash hvcrash.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 hvservice Hypervisor/Virtual Machine Support Driver hvservice.sys 10.0.19041.264 内核(Kernel)驱动程序 已停止 HWiNFO_165 HWiNFO Kernel Driver (v165) HWiNFO64A_165.SYS 10.65.0.0 内核(Kernel)驱动程序 正在运行 HwNClx0101 Microsoft Hardware Notifications Class Extension Driver mshwnclx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 hwpolicy Hardware Policy Driver hwpolicy.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 hyperkbd hyperkbd hyperkbd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 HyperVideo HyperVideo HyperVideo.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 i8042prt i8042 键盘和 PS/2 鼠标端口驱动程序 i8042prt.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 iaLPSSi_I2C Intel(R) 串行 IO I2C 控制器驱动程序 iaLPSSi_I2C.sys 1.1.253.0 内核(Kernel)驱动程序 正在运行 ibbus Mellanox InfiniBand 总线/AL (筛选器驱动程序) ibbus.sys 5.50.14695.0 内核(Kernel)驱动程序 已停止 igfx igfx igdkmd64.sys 20.19.15.4463 内核(Kernel)驱动程序 正在运行 IndirectKmd Indirect Displays 内核模式驱动程序 IndirectKmd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 IntcAzAudAddService Service for Realtek HD Audio (WDM) RTKVHD64.sys 6.0.1.7865 内核(Kernel)驱动程序 正在运行 IntcDAud 英特尔(R) 显示器音频 IntcDAud.sys 6.16.0.3197 内核(Kernel)驱动程序 已停止 intelide intelide intelide.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 intelpep Intel(R) Power Engine Plug-in Driver intelpep.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 intelpmax Intel(R) Dynamic Device Peak Power Manager Driver intelpmax.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 intelppm Intel Processor Driver intelppm.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 iorate 磁盘 I/O 速率筛选器驱动程序 iorate.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 IpFilterDriver IP 流量筛选器驱动程序 ipfltdrv.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 IPMIDRV IPMIDRV IPMIDrv.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 IPNAT IP Network Address Translator ipnat.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 IPT IPT ipt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 isapnp isapnp isapnp.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 iScsiPrt iScsiPort 驱动程序 msiscsi.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 kbdclass Keyboard Class Driver kbdclass.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 kbdhid Keyboard HID Driver kbdhid.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 kdnic Microsoft 内核调试网络微型端口(NDIS 6.20) kdnic.sys 6.1.0.0 内核(Kernel)驱动程序 已停止 KSecDD KSecDD ksecdd.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 KSecPkg KSecPkg ksecpkg.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 ksthunk Kernel Streaming Thunks ksthunk.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 lltdio 链路层拓扑发现映射器 I/O 驱动程序 lltdio.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 luafv UAC File Virtualization luafv.sys 10.0.19041.1 文件系统驱动程序 正在运行 mausbhost MA-USB 主机控制器驱动程序 mausbhost.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 mausbip MA-USB IP 筛选器驱动程序 mausbip.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MbbCx MBB Network Adapter Class Extension MbbCx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MEIx64 Intel(R) Management Engine Interface TeeDriverx64.sys 9.5.15.1730 内核(Kernel)驱动程序 正在运行 Microsoft_Bluetooth_AvrcpTransport Microsoft 蓝牙 AVRCP 传输驱动程序 Microsoft.Bluetooth.AvrcpTransport.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MMCSS Multimedia Class Scheduler mmcss.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Modem Modem modem.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 monitor Microsoft Monitor Class Function Driver Service monitor.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 mouclass Mouse Class Driver mouclass.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 mouhid Mouse HID Driver mouhid.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 mountmgr Mount Point Manager mountmgr.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 mpsdrv Windows Defender Firewall Authorization Driver mpsdrv.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 MRxDAV WebDav Client Redirector Driver mrxdav.sys 10.0.19041.1 文件系统驱动程序 已停止 mrxsmb SMB MiniRedirector Wrapper and Engine mrxsmb.sys 10.0.19041.153 文件系统驱动程序 正在运行 mrxsmb10 SMB 1.x MiniRedirector mrxsmb10.sys 10.0.19041.1 文件系统驱动程序 正在运行 mrxsmb20 SMB 2.0 MiniRedirector mrxsmb20.sys 10.0.19041.1 文件系统驱动程序 正在运行 MsBridge Microsoft MAC 桥 bridge.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Msfs Msfs 文件系统驱动程序 正在运行 msgpiowin32 用于按钮、停靠模式和笔记本电脑/平板电脑指示器的通用驱动程序 msgpiowin32.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 mshidkmdf mshidkmdf mshidkmdf.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 mshidumdf Pass-through HID to UMDF Driver mshidumdf.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 msisadrv msisadrv msisadrv.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 MSKSSRV Microsoft 流服务代理 MSKSSRV.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MsLldp Microsoft 链路层发现协议 mslldp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 MSPCLOCK Microsoft 流时钟代理 MSPCLOCK.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MSPQM Microsoft 流质量管理器代理 MSPQM.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MsQuic MsQuic msquic.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 MsRPC MsRPC 内核(Kernel)驱动程序 已停止 mssmbios Microsoft System Management BIOS Driver mssmbios.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 MSTEE Microsoft 流 Tee/Sink-to-Sink 转换器 MSTEE.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 MTConfig Microsoft Input Configuration Driver MTConfig.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Mup Mup mup.sys 10.0.19041.1 文件系统驱动程序 正在运行 NativeWifiP NativeWiFi 筛选器 nwifi.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 ndfltr NetworkDirect 服务 ndfltr.sys 5.50.14695.0 内核(Kernel)驱动程序 已停止 NDIS NDIS System Driver ndis.sys 10.0.19041.84 内核(Kernel)驱动程序 正在运行 NdisCap Microsoft NDIS 捕获 ndiscap.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 NdisImPlatform Microsoft 网络适配器多路传送器协议 NdisImPlatform.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 NdisTapi 远程访问 NDIS TAPI 驱动程序 ndistapi.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Ndisuio NDIS Usermode I/O Protocol ndisuio.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 NdisVirtualBus Microsoft 虚拟网络适配器枚举器 NdisVirtualBus.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 NdisWan 远程访问 NDIS WAN 驱动程序 ndiswan.sys 10.0.19041.153 内核(Kernel)驱动程序 正在运行 ndiswanlegacy 远程访问旧版 NDIS WAN 驱动程序 ndiswan.sys 10.0.19041.153 内核(Kernel)驱动程序 已停止 NDKPing NDKPing Driver NDKPing.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 ndproxy NDIS Proxy Driver NDProxy.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Ndu Windows Network Data Usage Monitoring Driver Ndu.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 NetAdapterCx Network Adapter Wdf Class Extension Library NetAdapterCx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 NetBIOS NetBIOS Interface netbios.sys 10.0.19041.1 文件系统驱动程序 正在运行 NetBT NetBT netbt.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 netvsc netvsc netvsc.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Npfs Npfs 文件系统驱动程序 正在运行 npsvctrig Named pipe service trigger provider npsvctrig.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 nsiproxy NSI Proxy Service Driver nsiproxy.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Ntfs Ntfs 文件系统驱动程序 正在运行 Null Null 内核(Kernel)驱动程序 正在运行 nvdimm Microsoft NVDIMM 设备驱动程序 nvdimm.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 nvlddmkm nvlddmkm nvlddmkm.sys 27.21.14.5709 内核(Kernel)驱动程序 正在运行 Parport Parallel port driver parport.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 partmgr Partition driver partmgr.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 pci PCI 总线驱动程序 pci.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 pciide pciide pciide.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 pcmcia pcmcia pcmcia.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 pcw Performance Counters for Windows Driver pcw.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 pdc pdc pdc.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 PEAUTH PEAUTH peauth.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 PktMon Packet Monitor Driver PktMon.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 pmem Microsoft 持久性内存磁盘驱动程序 pmem.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 PNPMEM Microsoft Memory Module Driver pnpmem.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 portcfg portcfg portcfg.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 PptpMiniport WAN 微型端口(PPTP) raspptp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Processor 处理器驱动程序 processr.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Psched QoS 数据包计划程序 pacer.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 PsDkCovr PsDkCovr PsDkCovr.sys 8.5.0.1 内核(Kernel)驱动程序 正在运行 PsLFilt PsLFilt PsLFilt.sys 8.5.0.1 内核(Kernel)驱动程序 正在运行 PsVfilt PsVfilt PsVfilt.sys 8.5.0.1 内核(Kernel)驱动程序 正在运行 qmbsec qmbsec qmbsecx64.sys 1.0.10.52 内核(Kernel)驱动程序 正在运行 QMUdisk tencent QMUdisk QMUdisk64_ev.sys 2016.12.8.19 内核(Kernel)驱动程序 正在运行 QQSysMonX64 QQSysMonX64 QQSysMonX64_EV.sys 2012.11.26.74 文件系统驱动程序 正在运行 QWAVEdrv QWAVE driver qwavedrv.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Ramdisk Windows RAM Disk Driver ramdisk.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 RasAcd Remote Access Auto Connection Driver rasacd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 RasAgileVpn WAN 微型端口(IKEv2) AgileVpn.sys 10.0.19041.153 内核(Kernel)驱动程序 正在运行 Rasl2tp WAN 微型端口(L2TP) rasl2tp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 RasPppoe 远程访问 PPPOE 驱动程序 raspppoe.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 RasSstp WAN 微型端口(SSTP) rassstp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 rdbss Redirected Buffering Sub System rdbss.sys 10.0.19041.1 文件系统驱动程序 正在运行 rdpbus 远程桌面设备重定向程序总线驱动程序 rdpbus.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 RDPDR Remote Desktop Device Redirector Driver rdpdr.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 RdpVideoMiniport Remote Desktop Video Miniport Driver rdpvideominiport.sys 10.0.19041.153 内核(Kernel)驱动程序 已停止 rdyboost ReadyBoost rdyboost.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 ReFS ReFS 文件系统驱动程序 已停止 ReFSv1 ReFSv1 文件系统驱动程序 已停止 RFCOMM Bluetooth Device (RFCOMM Protocol TDI) rfcomm.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 rhproxy 资源中心代理驱动程序 rhproxy.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 rspndr 链路层拓扑发现响应程序 rspndr.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 rt640x64 Realtek RT640 NT Driver rt640x64.sys 10.31.828.2018 内核(Kernel)驱动程序 正在运行 RTSUER Realtek USB Card Reader - UER RtsUer.sys 10.0.10586.31225 内核(Kernel)驱动程序 正在运行 s3cap s3cap vms3cap.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 sbp2port SBP-2 传输/协议总线驱动程序 sbp2port.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 scfilter Smart card PnP Class Filter Driver scfilter.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 scmbus Microsoft 存储类内存总线驱动程序 scmbus.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 sdbus sdbus sdbus.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 SDFRd SDF 反射器 SDFRd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 sdstor SD 存储端口驱动程序 sdstor.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 SerCx Serial UART Support Library SerCx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 SerCx2 Serial UART Support Library SerCx2.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Serenum Serenum Filter Driver serenum.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Serial 串行端口驱动程序 serial.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 sermouse 串行鼠标驱动程序 sermouse.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 sfloppy 大容量软盘驱动器 sfloppy.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 SgrmAgent System Guard Runtime Monitor Agent SgrmAgent.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 smbdirect smbdirect smbdirect.sys 10.0.19041.1 文件系统驱动程序 已停止 SmbDrvI SmbDrvI Smb_driver_Intel.sys 16.3.12.34 内核(Kernel)驱动程序 正在运行 softaal softaal softaal64_ev.sys 1.0.0.1 内核(Kernel)驱动程序 正在运行 spaceparser Space Parser spaceparser.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 spaceport 存储空间驱动程序 spaceport.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 SpatialGraphFilter Holographic Spatial Graph Filter SpatialGraphFilter.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 SpbCx Simple Peripheral Bus Support Library SpbCx.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 srv Server SMB 1.xxx Driver srv.sys 10.0.19041.1 文件系统驱动程序 正在运行 srv2 Server SMB 2.xxx Driver srv2.sys 10.0.19041.153 文件系统驱动程序 正在运行 srvnet srvnet srvnet.sys 10.0.19041.1 文件系统驱动程序 正在运行 storahci Microsoft 标准 SATA AHCI 驱动程序 storahci.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 storflt Microsoft Hyper-V 存储加速器 vmstorfl.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 stornvme Microsoft Standard NVM Express Driver stornvme.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 storqosflt Storage QoS Filter Driver storqosflt.sys 10.0.19041.1 文件系统驱动程序 正在运行 storufs Microsoft 通用闪存(UFS)驱动程序 storufs.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 storvsc storvsc storvsc.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 swenum 软件总线驱动程序 swenum.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Synth3dVsc Synth3dVsc Synth3dVsc.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 TAOAccelerator Tencent TAOAccelerator driver. TAOAcceleratorEx64_ev.sys 13.4.56750.801 内核(Kernel)驱动程序 正在运行 TAOKernelDriver Tencent Auto Optimize Platform. TAOKernelEx64_ev.sys 1.2.0.3 内核(Kernel)驱动程序 正在运行 TcHardWare TcHardWare QQPCHW-x64_ev.sys 2010.7.1.1 内核(Kernel)驱动程序 正在运行 Tcpip TCP/IP Protocol Driver tcpip.sys 10.0.19041.264 内核(Kernel)驱动程序 正在运行 Tcpip6 @todo.dll,-100;Microsoft IPv6 Protocol Driver tcpip.sys 10.0.19041.264 内核(Kernel)驱动程序 已停止 tcpipreg TCP/IP Registry Compatibility tcpipreg.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 tdx NetIO 旧 TDI 支持驱动程序 tdx.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Telemetry Intel(R) 遥测服务 IntelTA.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 terminpt Microsoft 远程桌面输入驱动程序 terminpt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 TFsFlt TFsFlt TFsFltX64_ev.sys 1.0.10.52 文件系统驱动程序 正在运行 TPM TPM tpm.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 TSDefenseBt TSDefenseBt TSDefenseBT64.sys 2015.7.7.1299 内核(Kernel)驱动程序 已停止 tsnethlpx64 TsNetHlpX64_ev.sys TsNetHlpX64_ev.sys 内核(Kernel)驱动程序 正在运行 TSSysKit TSSysKit TSSysKit64_EV.sys 2011.12.7.2 内核(Kernel)驱动程序 正在运行 TsUsbFlt Remote Desktop USB Hub Class Filter Driver tsusbflt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 TsUsbGD 远程桌面通用 USB 设备 TsUsbGD.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 tsusbhub Remote Desktop USB Hub tsusbhub.sys 10.0.19041.153 内核(Kernel)驱动程序 已停止 ttmtor ttmtor ttmtor.sys 3.0.302.2492 文件系统驱动程序 已停止 tunnel Microsoft Tunnel Miniport 适配器驱动程序 tunnel.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UASPStor USB Attached SCSI (UAS) 驱动程序 uaspstor.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UcmCx0101 USB Connector Manager KMDF Class Extension UcmCx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UcmTcpciCx0101 UCM-TCPCI KMDF Class Extension UcmTcpciCx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UcmUcsiAcpiClient UCM-UCSI ACPI 客户端 UcmUcsiAcpiClient.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UcmUcsiCx0101 UCM-UCSI KMDF Class Extension UcmUcsiCx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Ucx01000 USB Host Support Library ucx01000.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 UdeCx USB Device Emulation Support Library udecx.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 udfs udfs udfs.sys 10.0.19041.1 文件系统驱动程序 已停止 UEFI Microsoft UEFI 驱动程序 UEFI.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UevAgentDriver UevAgentDriver UevAgentDriver.sys 10.0.19041.1 文件系统驱动程序 已停止 Ufx01000 USB Function Class Extension ufx01000.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UfxChipidea USB Chipidea 控制器 UfxChipidea.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 ufxsynopsys USB Synopsys 控制器 ufxsynopsys.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 umbus UMBus Enumerator Driver umbus.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 UmPass Microsoft UMPass 驱动程序 umpass.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UrsChipidea Chipidea USB 角色切换驱动程序 urschipidea.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UrsCx01000 USB Role-Switch Support Library urscx01000.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 UrsSynopsys Synopsys USB 角色切换驱动程序 urssynopsys.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbaudio USB Audio Driver (WDM) usbaudio.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbaudio2 USB 音频 2.0 服务 usbaudio2.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbccgp Microsoft USB 通用父驱动程序 usbccgp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 usbcir eHome Infrared Receiver (USBCIR) usbcir.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbehci Microsoft USB 2.0 Enhanced Host Controller Miniport Driver usbehci.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 usbhub Microsoft USB 标准集线器驱动程序 usbhub.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 USBHUB3 SuperSpeed 集线器 UsbHub3.sys 10.0.19041.264 内核(Kernel)驱动程序 正在运行 usbohci Microsoft USB Open Host Controller Miniport Driver usbohci.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbprint Microsoft USB PRINTER Class usbprint.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbser Microsoft USB 串行驱动程序 usbser.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 USBSTOR USB 大容量存储驱动程序 USBSTOR.SYS 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbuhci Microsoft USB Universal Host Controller Miniport Driver usbuhci.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 usbvideo USB 视频设备(WDM) usbvideo.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 USBXHCI 符合 USB xHCI 的主机控制器 USBXHCI.SYS 10.0.19041.1 内核(Kernel)驱动程序 正在运行 vdrvroot Microsoft 虚拟驱动器枚举器 vdrvroot.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 VerifierExt 驱动程序验证程序扩展 VerifierExt.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 vhdmp vhdmp vhdmp.sys 10.0.19041.84 内核(Kernel)驱动程序 已停止 vhf 虚拟 HID 框架(VHF)驱动程序 vhf.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 Vid Vid Vid.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 VirtualRender VirtualRender vrd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 vmbus 虚拟机总线 vmbus.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 VMBusHID VMBusHID VMBusHID.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 vmgid Microsoft Hyper-V 来宾基础结构驱动程序 vmgid.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 volmgr 卷管理器驱动程序 volmgr.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 volmgrx Dynamic Volume Manager volmgrx.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 volsnap 卷映像复制驱动程序 volsnap.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 volume 卷驱动程序 volume.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 vpci Microsoft Hyper-V 虚拟 PCI 总线 vpci.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 vwifibus Virtual Wireless Bus Driver vwifibus.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 vwififlt Virtual WiFi Filter Driver vwififlt.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 vwifimp Virtual WiFi Miniport Service vwifimp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 WacomPen Wacom Serial Pen HID 驱动程序 wacompen.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 wanarp 远程访问 IP ARP 驱动程序 wanarp.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 wanarpv6 远程访问 IPv6 ARP 驱动程序 wanarp.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 wcifs Windows Container Isolation wcifs.sys 10.0.19041.1 文件系统驱动程序 正在运行 wcnfs Windows Container Name Virtualization wcnfs.sys 10.0.19041.1 文件系统驱动程序 已停止 Wdf01000 Kernel Mode Driver Frameworks service Wdf01000.sys 1.31.19041.264 内核(Kernel)驱动程序 正在运行 wdiwifi WDI Driver Framework wdiwifi.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 WdmCompanionFilter WdmCompanionFilter WdmCompanionFilter.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 WFPLWFS Microsoft Windows 筛选平台 wfplwfs.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 WIMMount WIMMount wimmount.sys 10.0.19041.84 文件系统驱动程序 已停止 WindowsTrustedRT Windows Trusted Execution Environment Class Extension WindowsTrustedRT.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 WindowsTrustedRTProxy Microsoft Windows 可信运行时安全服务 WindowsTrustedRTProxy.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 WinMad WinMad 服务 winmad.sys 5.50.14695.0 内核(Kernel)驱动程序 已停止 WinNat Windows NAT Driver winnat.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 WINUSB WinUsb 驱动程序 WinUSB.SYS 10.0.19041.1 内核(Kernel)驱动程序 已停止 WinVerbs WinVerbs 服务 winverbs.sys 5.50.14695.0 内核(Kernel)驱动程序 已停止 WmiAcpi Microsoft Windows Management Interface for ACPI wmiacpi.sys 10.0.19041.1 内核(Kernel)驱动程序 正在运行 Wof Windows Overlay File System Filter Driver 文件系统驱动程序 正在运行 WpdUpFltr WPD Upper Class Filter Driver WpdUpFltr.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 ws2ifsl Winsock IFS Driver ws2ifsl.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 WudfPf User Mode Driver Frameworks Platform Driver WudfPf.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 WUDFRd Windows Driver Foundation - User-mode Driver Framework Reflector WUDFRd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 WUDFWpdFs WPD 文件系统驱动程序 WUDFRd.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 xboxgip Xbox 游戏输入协议驱动程序 xboxgip.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 xinputhid XINPUT HID 筛选器驱动程序 xinputhid.sys 10.0.19041.1 内核(Kernel)驱动程序 已停止 --------[ 服务 ]-------------------------------------------------------------------------------------------------------- 360bpsvc 360bpsvc 360bpsvc.exe 1.0.0.1080 自有进程 正在运行 LocalSystem AarSvc_cb4a5 Agent Activation Runtime_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 AJRouter AllJoyn Router Service svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService ALG Application Layer Gateway Service alg.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\LocalService AppIDSvc Application Identity svchost.exe 10.0.19041.1 共享进程 已停止 NT Authority\LocalService Appinfo Application Information svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem AppMgmt Application Management svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem AppReadiness App Readiness svchost.exe 10.0.19041.1 未知 已停止 LocalSystem AppVClient Microsoft App-V Client AppVClient.exe 10.0.19041.84 自有进程 已停止 LocalSystem AppXSvc AppX Deployment Service (AppXSVC) svchost.exe 10.0.19041.1 未知 已停止 LocalSystem AssignedAccessManagerSvc AssignedAccessManager 服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem AudioEndpointBuilder Windows Audio Endpoint Builder svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem Audiosrv Windows Audio svchost.exe 10.0.19041.1 自有进程 正在运行 NT AUTHORITY\LocalService autotimesvc 手机网络时间 svchost.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\LocalService AxInstSV ActiveX Installer (AxInstSV) svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem BcastDVRUserService_cb4a5 GameDVR 和广播用户服务_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 BDESVC BitLocker Drive Encryption Service svchost.exe 10.0.19041.1 共享进程 已停止 localSystem BFE Base Filtering Engine svchost.exe 10.0.19041.1 共享进程 正在运行 NT AUTHORITY\LocalService BITS Background Intelligent Transfer Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem BluetoothUserService_cb4a5 蓝牙用户支持服务_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 BrokerInfrastructure Background Tasks Infrastructure Service svchost.exe 10.0.19041.1 共享进程 正在运行 LocalSystem Browser Computer Browser svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem BTAGService 蓝牙音频网关服务 svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService BthAvctpSvc AVCTP 服务 svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService bthserv 蓝牙支持服务 svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService camsvc 功能访问管理器服务 svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem CaptureService_cb4a5 CaptureService_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 cbdhsvc_cb4a5 剪贴板用户服务_cb4a5 svchost.exe 10.0.19041.1 未知 正在运行 CDPSvc 连接设备平台服务 svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService CDPUserSvc_cb4a5 连接设备平台用户服务_cb4a5 svchost.exe 10.0.19041.1 未知 正在运行 CertPropSvc Certificate Propagation svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem ClipSVC Client License Service (ClipSVC) svchost.exe 10.0.19041.1 未知 已停止 LocalSystem COMSysApp COM+ System Application dllhost.exe 10.0.19041.1 自有进程 已停止 LocalSystem ConsentUxUserSvc_cb4a5 ConsentUX_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 CoreMessagingRegistrar CoreMessaging svchost.exe 10.0.19041.1 共享进程 正在运行 NT AUTHORITY\LocalService cphs Intel(R) Content Protection HECI Service IntelCpHeciSvc.exe 9.0.31.9015 自有进程 已停止 LocalSystem CredentialEnrollmentManagerUserSvc_cb4a5 CredentialEnrollmentManagerUserSvc_cb4a5 CredentialEnrollmentManager.exe 10.0.19041.264 未知 已停止 CryptSvc Cryptographic Services svchost.exe 10.0.19041.1 未知 正在运行 NT Authority\NetworkService CscService Offline Files svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem DcomLaunch DCOM Server Process Launcher svchost.exe 10.0.19041.1 共享进程 正在运行 LocalSystem defragsvc Optimize drives svchost.exe 10.0.19041.1 自有进程 已停止 localSystem DeviceAssociationBrokerSvc_cb4a5 DeviceAssociationBroker_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 DeviceAssociationService Device Association Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem DeviceInstall Device Install Service svchost.exe 10.0.19041.1 未知 已停止 LocalSystem DevicePickerUserSvc_cb4a5 DevicePicker_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 DevicesFlowUserSvc_cb4a5 DevicesFlow_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 DevQueryBroker DevQuery Background Discovery Broker svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem Dhcp DHCP Client svchost.exe 10.0.19041.1 未知 正在运行 NT Authority\LocalService diagnosticshub.standardcollector.service Microsoft (R) 诊断中心标准收集器服务 DiagnosticsHub.StandardCollector.Service.exe 11.0.19041.264 自有进程 已停止 LocalSystem diagsvc Diagnostic Execution Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem DiagTrack Connected User Experiences and Telemetry svchost.exe 10.0.19041.1 自有进程 已停止 LocalSystem DispBrokerDesktopSvc 显示策略服务 svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService DisplayEnhancementService 显示增强服务 svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem DmEnrollmentSvc 设备管理注册服务 svchost.exe 10.0.19041.1 自有进程 已停止 LocalSystem dmwappushservice 设备管理无线应用程序协议 (WAP) 推送消息路由服务 svchost.exe 10.0.19041.1 未知 已停止 LocalSystem Dnscache DNS Client svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\NetworkService DoSvc Delivery Optimization svchost.exe 10.0.19041.1 共享进程 已停止 NT Authority\NetworkService dot3svc Wired AutoConfig svchost.exe 10.0.19041.1 共享进程 已停止 localSystem DPS Diagnostic Policy Service svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService dsmainsrv dsmainsrv dsmain.exe 7.5.0.1550 自有进程 已停止 LocalSystem DsmSvc Device Setup Manager svchost.exe 10.0.19041.1 未知 已停止 LocalSystem DsSvc Data Sharing Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem DusmSvc 数据使用量 svchost.exe 10.0.19041.1 自有进程 正在运行 NT Authority\LocalService Eaphost Extensible Authentication Protocol svchost.exe 10.0.19041.1 共享进程 已停止 localSystem EFS Encrypting File System (EFS) lsass.exe 10.0.19041.1 共享进程 已停止 LocalSystem embeddedmode 嵌入模式 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem EntAppSvc Enterprise App Management Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem EventLog Windows Event Log svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService EventSystem COM+ Event System svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService Fax Fax fxssvc.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\NetworkService fdPHost Function Discovery Provider Host svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService FDResPub Function Discovery Resource Publication svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService Flash Helper Service Flash Helper Service FlashHelperService.exe 2.2.1.65 自有进程 已停止 LocalSystem FontCache Windows Font Cache Service svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService FontCache3.0.0.0 Windows Presentation Foundation Font Cache 3.0.0.0 PresentationFontCache.exe 3.0.6920.9135 自有进程 正在运行 NT Authority\LocalService FrameServer Windows Camera Frame Server svchost.exe 10.0.19041.1 未知 已停止 LocalSystem gpsvc Group Policy Client svchost.exe 10.0.19041.1 未知 已停止 LocalSystem GraphicsPerfSvc GraphicsPerfSvc svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem hidserv Human Interface Device Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem HpSvc Hardware Protection Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem HvHost HV 主机服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem icssvc Windows 移动热点服务 svchost.exe 10.0.19041.1 共享进程 已停止 NT Authority\LocalService igfxCUIService2.0.0.0 Intel(R) HD Graphics Control Panel Service igfxCUIService.exe 6.15.10.3682 自有进程 正在运行 LocalSystem IKEEXT IKE and AuthIP IPsec Keying Modules svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem InputMd_2345Svc 王牌输入法核心服务 Pinyin_2345Svc.exe 6.7.4.2236 自有进程 正在运行 LocalSystem InstallService Microsoft Store 安装服务 svchost.exe 10.0.19041.1 自有进程 正在运行 LocalSystem iphlpsvc IP Helper svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem IpxlatCfgSvc IP 转换配置服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem KeyIso CNG Key Isolation lsass.exe 10.0.19041.1 共享进程 正在运行 LocalSystem KtmRm KtmRm for Distributed Transaction Coordinator svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\NetworkService KugouService KuGou Service service.exe 1.0.0.1 自有进程 正在运行 LocalSystem LanmanServer Server svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem LanmanWorkstation Workstation svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\NetworkService lfsvc Geolocation Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem LicenseManager Windows 许可证管理器服务 svchost.exe 10.0.19041.1 未知 正在运行 NT Authority\LocalService lltdsvc Link-Layer Topology Discovery Mapper svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService lmhosts TCP/IP NetBIOS Helper svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService LSM Local Session Manager svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem LxpSvc 语言体验服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem MessagingService_cb4a5 MessagingService_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 MixedRealityOpenXRSvc Windows Mixed Reality OpenXR Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem mpssvc Windows Defender Firewall svchost.exe 10.0.19041.1 共享进程 正在运行 NT Authority\LocalService MSDTC Distributed Transaction Coordinator msdtc.exe 2001.12.10941.16384 自有进程 已停止 NT AUTHORITY\NetworkService MSiSCSI Microsoft iSCSI Initiator Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem msiserver Windows Installer msiexec.exe 5.0.19041.1 自有进程 已停止 LocalSystem NaturalAuthentication 自然身份验证 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem NcaSvc Network Connectivity Assistant svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem NcbService Network Connection Broker svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem NcdAutoSetup Network Connected Devices Auto-Setup svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService Netlogon Netlogon lsass.exe 10.0.19041.1 共享进程 已停止 LocalSystem Netman Network Connections svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem netprofm Network List Service svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService NetSetupSvc Network Setup Service svchost.exe 10.0.19041.1 未知 已停止 LocalSystem NetTcpPortSharing Net.Tcp Port Sharing Service SMSvcHost.exe 4.8.4084.0 共享进程 已停止 NT AUTHORITY\LocalService NgcCtnrSvc Microsoft Passport Container svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService NgcSvc Microsoft Passport svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem NlaSvc Network Location Awareness svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\NetworkService nsi Network Store Interface Service svchost.exe 10.0.19041.1 未知 正在运行 NT Authority\LocalService NVDisplay.ContainerLocalSystem NVIDIA Display Container LS NVDisplay.Container.exe 1.28.2851.9944 自有进程 正在运行 LocalSystem OneSyncSvc_cb4a5 同步主机_cb4a5 svchost.exe 10.0.19041.1 未知 正在运行 p2pimsvc Peer Networking Identity Manager svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService p2psvc Peer Networking Grouping svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService PcaSvc Program Compatibility Assistant Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem PeerDistSvc BranchCache svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\NetworkService perceptionsimulation Windows 感知模拟服务 PerceptionSimulationService.exe 10.0.19041.84 自有进程 已停止 LocalSystem PerfHost Performance Counter DLL Host perfhost.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\LocalService PhoneSvc Phone Service svchost.exe 10.0.19041.1 共享进程 已停止 NT Authority\LocalService PimIndexMaintenanceSvc_cb4a5 Contact Data_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 pla Performance Logs & Alerts svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService PlugPlay Plug and Play svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem PNRPAutoReg PNRP Machine Name Publication Service svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService PNRPsvc Peer Name Resolution Protocol svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService PolicyAgent IPsec Policy Agent svchost.exe 10.0.19041.1 未知 正在运行 NT Authority\NetworkService Power Power svchost.exe 10.0.19041.1 共享进程 正在运行 LocalSystem PrintNotify Printer Extensions and Notifications svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem PrintWorkflowUserSvc_cb4a5 PrintWorkflow_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 ProfSvc User Profile Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem PsFunctionService PowerShadow System Service PsFunctionService.exe 5.0.0.0 自有进程 正在运行 LocalSystem PushToInstall Windows PushToInstall 服务 svchost.exe 10.0.19041.1 未知 已停止 LocalSystem QiyiService IQIYI Video Platform Service 自有进程 已停止 qmbsrv qmbsrv qmbsrv.exe 自有进程 正在运行 LocalSystem QQGameService QQGameService QQGameService.exe 5.30.57563.0 自有进程 正在运行 LocalSystem QQPCRTP QQPCMgr RTP Service QQPCRTP.exe 13.10.21935.215 自有进程 正在运行 LocalSystem QQRepairFixSVC QQRepairFixSVC QQRepairFixSVC 自有进程 已停止 LocalSystem QWAVE Quality Windows Audio Video Experience svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService RasAuto Remote Access Auto Connection Manager svchost.exe 10.0.19041.1 共享进程 已停止 localSystem RasMan Remote Access Connection Manager svchost.exe 10.0.19041.1 共享进程 正在运行 localSystem RemoteAccess Routing and Remote Access svchost.exe 10.0.19041.1 共享进程 已停止 localSystem RemoteRegistry Remote Registry svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService RmSvc 无线电管理服务 svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService RpcEptMapper RPC Endpoint Mapper svchost.exe 10.0.19041.1 共享进程 正在运行 NT AUTHORITY\NetworkService RpcLocator Remote Procedure Call (RPC) Locator locator.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\NetworkService RpcSs Remote Procedure Call (RPC) svchost.exe 10.0.19041.1 共享进程 正在运行 NT AUTHORITY\NetworkService SamSs Security Accounts Manager lsass.exe 10.0.19041.1 共享进程 正在运行 LocalSystem SCardSvr Smart Card svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService ScDeviceEnum Smart Card Device Enumeration Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem Schedule Task Scheduler svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem SCPolicySvc Smart Card Removal Policy svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem SDRSVC Windows 备份 svchost.exe 10.0.19041.1 自有进程 已停止 localSystem seclogon Secondary Logon svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem SEMgrSvc 付款和 NFC/SE 管理器 svchost.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\LocalService SENS System Event Notification Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem SensorDataService Sensor Data Service SensorDataService.exe 10.0.19041.1 自有进程 已停止 LocalSystem SensorService Sensor Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem SensrSvc Sensor Monitoring Service svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService SessionEnv Remote Desktop Configuration svchost.exe 10.0.19041.1 共享进程 已停止 localSystem SgrmBroker System Guard 运行时监视代理 SgrmBroker.exe 10.0.19041.84 自有进程 正在运行 LocalSystem SharedAccess Internet Connection Sharing (ICS) svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem SharedRealitySvc 空间数据服务 svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService ShellHWDetection Shell Hardware Detection svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem shpamsvc Shared PC Account Manager svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem smphost Microsoft Storage Spaces SMP svchost.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\NetworkService SmsRouter Microsoft Windows SMS 路由器服务。 svchost.exe 10.0.19041.1 未知 已停止 NT Authority\LocalService SNMPTRAP SNMP 陷阱 snmptrap.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\LocalService spectrum Windows 感知服务 spectrum.exe 10.0.19041.153 自有进程 已停止 NT AUTHORITY\LocalService Spooler Print Spooler spoolsv.exe 10.0.19041.1 自有进程 正在运行 LocalSystem sppsvc Software Protection sppsvc.exe 10.0.19041.173 自有进程 正在运行 NT AUTHORITY\NetworkService SSDPSRV SSDP Discovery svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService ssh-agent OpenSSH Authentication Agent ssh-agent.exe 7.7.2.1 自有进程 已停止 LocalSystem SstpSvc Secure Socket Tunneling Protocol Service svchost.exe 10.0.19041.1 未知 正在运行 NT Authority\LocalService StateRepository State Repository Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem stisvc Windows Image Acquisition (WIA) svchost.exe 10.0.19041.1 自有进程 已停止 NT Authority\LocalService StorSvc Storage Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem svsvc Spot Verifier svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem swprv Microsoft Software Shadow Copy Provider svchost.exe 10.0.19041.1 自有进程 已停止 LocalSystem SysMain SysMain svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem SystemEventsBroker System Events Broker svchost.exe 10.0.19041.1 共享进程 正在运行 LocalSystem TabletInputService Touch Keyboard and Handwriting Panel Service svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem TapiSrv Telephony svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\NetworkService TermService Remote Desktop Services svchost.exe 10.0.19041.1 共享进程 已停止 NT Authority\NetworkService Themes Themes svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem TieringEngineService Storage Tiers Management TieringEngineService.exe 10.0.19041.1 自有进程 已停止 localSystem TimeBrokerSvc Time Broker svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService TokenBroker Web 帐户管理器 svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem TrkWks Distributed Link Tracking Client svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem TroubleshootingSvc 建议疑难解答服务 svchost.exe 10.0.19041.1 未知 已停止 LocalSystem TrustedInstaller Windows Modules Installer TrustedInstaller.exe 10.0.19041.153 自有进程 已停止 localSystem tzautoupdate 自动时区更新程序 svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService UdkUserSvc_cb4a5 Udk 用户服务_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 UevAgentService User Experience Virtualization Service AgentService.exe 10.0.19041.1 自有进程 已停止 LocalSystem UmRdpService Remote Desktop Services UserMode Port Redirector svchost.exe 10.0.19041.1 共享进程 已停止 localSystem UnistoreSvc_cb4a5 User Data Storage_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 upnphost UPnP Device Host svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService UserDataSvc_cb4a5 User Data Access_cb4a5 svchost.exe 10.0.19041.1 未知 已停止 UserManager User Manager svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem UsoSvc 更新 Orchestrator 服务 svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem VacSvc 立体音频组合器服务 svchost.exe 10.0.19041.1 自有进程 已停止 NT AUTHORITY\LocalService VaultSvc Credential Manager lsass.exe 10.0.19041.1 共享进程 正在运行 LocalSystem vds Virtual Disk vds.exe 10.0.19041.1 自有进程 已停止 LocalSystem vmicguestinterface Hyper-V Guest Service Interface svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem vmicheartbeat Hyper-V Heartbeat Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem vmickvpexchange Hyper-V Data Exchange Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem vmicrdv Hyper-V 远程桌面虚拟化服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem vmicshutdown Hyper-V Guest Shutdown Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem vmictimesync Hyper-V Time Synchronization Service svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService vmicvmsession Hyper-V PowerShell Direct Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem vmicvss Hyper-V 卷影复制请求程序 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem VSS Volume Shadow Copy vssvc.exe 10.0.19041.1 自有进程 已停止 LocalSystem W32Time Windows Time svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService WaaSMedicSvc Windows 更新医生服务 svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem WalletService WalletService svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem WarpJITSvc WarpJITSvc svchost.exe 10.0.19041.1 自有进程 已停止 NT Authority\LocalService wbengine Block Level Backup Engine Service wbengine.exe 10.0.19041.264 自有进程 已停止 localSystem WbioSrvc Windows Biometric Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem Wcmsvc Windows Connection Manager svchost.exe 10.0.19041.1 自有进程 正在运行 NT Authority\LocalService wcncsvc Windows Connect Now - Config Registrar svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService WdiServiceHost Diagnostic Service Host svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService WdiSystemHost Diagnostic System Host svchost.exe 10.0.19041.1 未知 已停止 LocalSystem WebClient WebClient svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService Wecsvc Windows Event Collector svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\NetworkService WEPHOSTSVC Windows Encryption Provider Host Service svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService wercplsupport Problem Reports Control Panel Support svchost.exe 10.0.19041.1 共享进程 已停止 localSystem WerSvc Windows Error Reporting Service svchost.exe 10.0.19041.1 自有进程 已停止 localSystem WFDSConMgrSvc WLAN Direct 服务连接管理器服务 svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService WiaRpc Still Image Acquisition Events svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem WinHttpAutoProxySvc WinHTTP Web Proxy Auto-Discovery Service svchost.exe 10.0.19041.1 未知 正在运行 NT AUTHORITY\LocalService Winmgmt Windows Management Instrumentation svchost.exe 10.0.19041.1 未知 正在运行 localSystem WinRM Windows Remote Management (WS-Management) svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\NetworkService wisvc Windows 预览体验成员服务 svchost.exe 10.0.19041.1 未知 已停止 LocalSystem WlanSvc WLAN AutoConfig svchost.exe 10.0.19041.1 自有进程 正在运行 LocalSystem wlidsvc Microsoft Account Sign-in Assistant svchost.exe 10.0.19041.1 未知 已停止 LocalSystem wlpasvc 本地配置文件助手服务 svchost.exe 10.0.19041.1 共享进程 已停止 NT Authority\LocalService WManSvc Windows 管理服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem wmiApSrv WMI Performance Adapter WmiApSrv.exe 10.0.19041.1 自有进程 已停止 localSystem WMPNetworkSvc Windows Media Player Network Sharing Service wmpnetwk.exe 自有进程 已停止 NT AUTHORITY\NetworkService workfolderssvc Work Folders svchost.exe 10.0.19041.1 共享进程 已停止 NT AUTHORITY\LocalService WPDBusEnum Portable Device Enumerator Service svchost.exe 10.0.19041.1 未知 已停止 LocalSystem WpnService Windows 推送通知系统服务 svchost.exe 10.0.19041.1 未知 正在运行 LocalSystem WpnUserService_cb4a5 Windows Push Notifications User Service_cb4a5 svchost.exe 10.0.19041.1 未知 正在运行 wpscloudsvr WPS Office Cloud Service wpscloudsvr.exe 11.1.0.11636 自有进程 已停止 LocalSystem WSearch Windows Search SearchIndexer.exe 7.0.19041.264 自有进程 已停止 LocalSystem wuauserv Windows Update svchost.exe 10.0.19041.1 未知 已停止 LocalSystem WwanSvc WWAN AutoConfig svchost.exe 10.0.19041.1 共享进程 已停止 localSystem XblAuthManager Xbox Live 身份验证管理器 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem XblGameSave Xbox Live 游戏保存 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem XboxGipSvc Xbox Accessory Management Service svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem XboxNetApiSvc Xbox Live 网络服务 svchost.exe 10.0.19041.1 共享进程 已停止 LocalSystem ZhuDongFangYu 主动防御 ZhuDongFangYu.exe 3.2.2.3090 自有进程 正在运行 LocalSystem --------[ AX 文件 ]----------------------------------------------------------------------------------------------------- bdaplgin.ax 10.0.19041.1 Microsoft BDA Device Control Plug-in for MPEG2 based networks. g711codc.ax 10.0.19041.1 Intel G711 CODEC ksproxy.ax 10.0.19041.1 WDM Streaming ActiveMovie Proxy kstvtune.ax 10.0.19041.1 WDM 流 TvTuner kswdmcap.ax 10.0.19041.1 WDM 流视频捕获 ksxbar.ax 10.0.19041.1 WDM Streaming Crossbar mpeg2data.ax 10.0.19041.1 Microsoft MPEG-2 Section and Table Acquisition Module mpg2splt.ax 10.0.19041.1 DirectShow MPEG-2 Splitter. msdvbnp.ax 10.0.19041.1 Microsoft Network Provider for MPEG2 based networks. msnp.ax 10.0.19041.1 Microsoft Network Provider for MPEG2 based networks. psisrndr.ax 10.0.19041.1 Microsoft Transport Information Filter for MPEG2 based networks. vbicodec.ax 10.0.19041.1 Microsoft VBI Codec vbisurf.ax 10.0.19041.1 VBI Surface Allocator Filter vidcap.ax 10.0.19041.1 Video Capture Interface Server wstpager.ax 10.0.19041.1 Microsoft Teletext Server --------[ DLL 文件 ]---------------------------------------------------------------------------------------------------- 2345pinyintsf.dll 7.7.0.8279 2345王牌拼音输入法 aadauthhelper.dll 10.0.19041.1 Microsoft? AAD Auth Helper aadtb.dll 10.0.19041.117 AAD Token Broker Helper Library aadwamextension.dll 10.0.19041.1 AAD WAM 扩展 DLL aarsvc.dll 10.0.19041.1 Agent Activation Runtime Service abovelockapphost.dll 10.0.19041.1 AboveLockAppHost accessibilitycpl.dll 10.0.19041.1 “轻松使用”控制面板 accountaccessor.dll 10.0.19041.1 Sync data model to access accounts accountsrt.dll 10.0.19041.264 Accounts RT utilities for mail, contacts, calendar acgenral.dll 10.0.19041.1 Windows Compatibility DLL aclayers.dll 10.0.19041.1 Windows Compatibility DLL acledit.dll 10.0.19041.1 访问控制列表编辑器 aclui.dll 10.0.19041.1 安全描述符编辑器 acppage.dll 10.0.19041.1 兼容性选项卡外壳扩展库 acspecfc.dll 10.0.19041.1 Windows Compatibility DLL actioncenter.dll 10.0.19041.1 安全和维护 actioncentercpl.dll 10.0.19041.1 安全和维护控制面板 activationclient.dll 10.0.19041.1 Activation Client activationmanager.dll 10.0.19041.1 Activation Manager activeds.dll 10.0.19041.1 AD 路由器层 DLL activesyncprovider.dll 10.0.19041.1 The engine that syncs ActiveSync accounts actxprxy.dll 10.0.19041.1 ActiveX Interface Marshaling Library acwinrt.dll 10.0.19041.1 Windows Compatibility DLL acwow64.dll 10.0.19041.1 Windows Compatibility for 32bit Apps on Win64 acxtrnal.dll 10.0.19041.1 Windows Compatibility DLL adaptivecards.dll 10.0.19041.1 Windows Adaptive Cards API Server addressparser.dll 10.0.19041.1 ADDRESSPARSER admtmpl.dll 10.0.19041.1 管理模板扩展 adprovider.dll 10.0.19041.1 adprovider DLL adrclient.dll 10.0.19041.1 Microsoft? 拒绝访问修正客户端 adsldp.dll 10.0.19041.1 ADs LDAP Provider DLL adsldpc.dll 10.0.19041.1 ADs LDAP Provider C DLL adsmsext.dll 10.0.19041.1 ADs LDAP Provider DLL adsnt.dll 10.0.19041.1 AD Windows NT 提供程序 DLL adtschema.dll 10.0.19041.1 安全审核架构 DLL advapi32.dll 10.0.19041.1 高级 Windows 32 基本 API advapi32res.dll 10.0.19041.1 高级 Windows 32 基本 API advpack.dll 11.0.19041.1 ADVPACK aeevts.dll 10.0.19041.1 应用程序体验事件资源 aepic.dll 10.0.19041.264 Application Experience Program Cache agentactivationruntime.dll 10.0.19041.1 Agent Activation Runtime Common DLL agentactivationruntimewindows.dll 10.0.19041.1 Agent Activation Runtime Windows DLL altspace.dll 10.0.19041.1 amsi.dll 10.0.19041.1 Anti-Malware Scan Interface amstream.dll 10.0.19041.1 DirectShow Runtime. analogcommonproxystub.dll 10.0.19041.1 Analog Common Proxy Stub apds.dll 10.0.19041.1 Microsoft (R) 帮助数据服务模块 aphostclient.dll 10.0.19041.1 Accounts Host Service RPC Client api-ms-win-core-console-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-datetime-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-debug-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-errorhandling-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-file-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-file-l1-2-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-file-l2-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-handle-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-heap-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-interlocked-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-libraryloader-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-localization-l1-2-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-memory-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-namedpipe-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-processenvironment-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-processthreads-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-processthreads-l1-1-1.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-profile-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-rtlsupport-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-string-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-synch-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-synch-l1-2-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-sysinfo-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-timezone-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-core-util-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-conio-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-convert-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-environment-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-filesystem-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-heap-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-locale-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-math-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-multibyte-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-private-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-process-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-runtime-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-stdio-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-string-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-time-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL api-ms-win-crt-utility-l1-1-0.dll 10.0.10586.15 ApiSet Stub DLL apisethost.appexecutionalias.dll 10.0.19041.264 ApiSetHost.AppExecutionAlias appcontracts.dll 10.0.19041.264 Windows AppContracts API 服务器 appextension.dll 10.0.19041.264 AppExtension API apphelp.dll 10.0.19041.1 应用程序兼容性客户端库 apphlpdm.dll 10.0.19041.1 应用程序兼容性帮助模块 appidapi.dll 10.0.19041.1 Application Identity APIs Dll appidpolicyengineapi.dll 10.0.19041.1 AppId Policy Engine API Module appinstallerprompt.desktop.dll 10.0.19041.1 AppInstaller 提示桌面 applockercsp.dll 10.0.19041.1 AppLockerCSP appmanagementconfiguration.dll 10.0.19041.1 Application Management Configuration appmgmts.dll 10.0.19041.1 软件安装服务 appmgr.dll 10.0.19041.1 软件安装管理单元扩展 appointmentactivation.dll 10.0.19041.1 DLL for AppointmentActivation appointmentapis.dll 10.0.19041.264 用于 CalendarRT 的 DLL appresolver.dll 10.0.19041.264 应用解析程序 appvclientps.dll 10.0.19041.1 Microsoft Application Virtualization Client API Proxy Stub appventsubsystems32.dll 10.0.19041.264 Client Virtualization Subsystems appvsentinel.dll 10.0.19041.1 Microsoft Application Virtualization Client Sentinel DLL appvterminator.dll 10.0.19041.1 Microsoft Application Virtualization Terminator appxalluserstore.dll 10.0.19041.153 AppX All User Store DLL appxapplicabilityengine.dll 10.0.19041.1 AppX Applicability Engine appxdeploymentclient.dll 10.0.19041.264 AppX 部署客户端 DLL appxpackaging.dll 10.0.19041.1 本机代码 Appx 打包库 appxsip.dll 10.0.19041.1 Appx Subject Interface Package archiveint.dll 3.3.2.0 Windows-internal libarchive library asferror.dll 12.0.19041.1 ASF 错误定义 aspnet_counters.dll 4.8.4084.0 Microsoft ASP.NET Performance Counter Shim DLL assignedaccessruntime.dll 10.0.19041.1 AssignedAccessRuntime asycfilt.dll 10.0.19041.1 ASYCFILT.DLL atl.dll 3.5.2284.0 ATL Module for Windows XP (Unicode) atl100.dll 10.0.40219.473 ATL Module for Windows atl110.dll 11.0.61135.400 ATL Module for Windows atlthunk.dll 10.0.19041.1 atlthunk.dll atmlib.dll 5.1.2.254 Windows NT OpenType/Type 1 API Library. audiodev.dll 10.0.19041.1 便携媒体设备命令行解释器扩展 audioeng.dll 10.0.19041.1 Audio Engine audiokse.dll 10.0.19041.1 Audio Ks Endpoint audioses.dll 10.0.19041.264 音频会话 auditnativesnapin.dll 10.0.19041.1 审核策略组策略编辑器扩展 auditpolcore.dll 10.0.19041.1 审核策略程序 auditpolicygpinterop.dll 10.0.19041.1 审核策略 GP 模块 auditpolmsg.dll 10.0.19041.1 审核策略 MMC 管理单元消息 authbroker.dll 10.0.19041.264 Web 身份验证 WinRT API authbrokerui.dll 10.0.19041.1 AuthBroker UI authext.dll 10.0.19041.1 身份验证扩展 authfwcfg.dll 10.0.19041.1 高级安全 Windows Defender 防火墙配置帮助程序 authfwgp.dll 10.0.19041.1 高级安全 Windows Defender 防火墙组策略编辑器扩展 authfwsnapin.dll 10.0.19041.1 Microsoft.WindowsFirewall.SnapIn authfwwizfwk.dll 10.0.19041.1 Wizard Framework authui.dll 10.0.19041.1 Windows 身份验证 UI authz.dll 10.0.19041.1 Authorization Framework autoplay.dll 10.0.19041.1 自动播放控制面板 avicap32.dll 10.0.19041.1 AVI 捕获窗口类 avifil32.dll 10.0.19041.1 Microsoft AVI 文件支持库 avrt.dll 10.0.19041.1 多媒体实时运行时 azroles.dll 10.0.19041.1 azroles 模块 azroleui.dll 10.0.19041.1 授权管理器 azsqlext.dll 10.0.19041.1 AzMan Sql Audit Extended Stored Procedures Dll azuresettingsyncprovider.dll 10.0.19041.1 Azure Setting Sync Provider backgroundmediapolicy.dll 10.0.19041.1 Background Media Policy DLL bamsettingsclient.dll 10.0.19041.1 Background Activity Moderator Settings Client basecsp.dll 10.0.19041.1 Microsoft 基本智能卡加密提供程序 batmeter.dll 10.0.19041.1 电池电量帮助程序 DLL bcastdvr.proxy.dll 10.0.19041.1 Broadcast DVR Proxy bcastdvrbroker.dll 10.0.19041.264 Windows Runtime BcastDVRBroker DLL bcastdvrclient.dll 10.0.19041.264 Windows Runtime BcastDVRClient DLL bcastdvrcommon.dll 10.0.19041.1 Windows Runtime BcastDVRCommon DLL bcd.dll 10.0.19041.1 BCD DLL bcp47langs.dll 10.0.19041.1 BCP47 Language Classes bcp47mrm.dll 10.0.19041.1 BCP47 Language Classes for Resource Management bcrypt.dll 10.0.19041.1 Windows 加密基元库 bcryptprimitives.dll 10.0.19041.264 Windows Cryptographic Primitives Library bidispl.dll 10.0.19041.1 Bidispl DLL biocredprov.dll 10.0.19041.1 WinBio 凭据提供程序 bitlockercsp.dll 10.0.19041.1 BitLockerCSP bitsperf.dll 7.8.19041.1 Perfmon Counter Access bitsproxy.dll 7.8.19041.1 Background Intelligent Transfer Service Proxy biwinrt.dll 10.0.19041.1 Windows Background Broker Infrastructure bluetoothapis.dll 10.0.19041.1 Bluetooth Usermode Api host bootvid.dll 10.0.19041.1 VGA Boot Driver browcli.dll 10.0.19041.1 Browser Service Client DLL browsersettingsync.dll 10.0.19041.1 Browser Setting Synchronization browseui.dll 10.0.19041.1 Shell Browser UI Library btagservice.dll 10.0.19041.264 蓝牙音频网关服务 bthtelemetry.dll 10.0.19041.1 Bluetooth Telemetry Agent btpanui.dll 10.0.19041.1 蓝牙 PAN 用户界面 bwcontexthandler.dll 1.0.0.1 ContextH 应用程序 c_g18030.dll 10.0.19041.1 GB18030 DBCS-Unicode Conversion DLL c_gsm7.dll 10.0.19041.1 GSM 7bit Code Page Translation DLL for SMS c_is2022.dll 10.0.19041.1 ISO-2022 Code Page Translation DLL c_iscii.dll 10.0.19041.1 ISCII Code Page Translation DLL cabapi.dll 10.0.19041.1 Mobile Cabinet Library cabinet.dll 5.0.1.1 Microsoft? Cabinet File API cabview.dll 10.0.19041.1 Cab 文件查看器外壳扩展 callbuttons.dll 10.0.19041.1 Windows Runtime CallButtonsServer DLL callbuttons.proxystub.dll 10.0.19041.1 Windows Runtime CallButtonsServer ProxyStub DLL callhistoryclient.dll 10.0.19041.1 用于访问 CallHistory 信息的客户端 DLL cameracaptureui.dll 10.0.19041.264 Microsoft? Windows? Operating System capabilityaccessmanagerclient.dll 10.0.19041.264 Capability Access Manager Client capauthz.dll 10.0.19041.1 功能授权 API capiprovider.dll 10.0.19041.1 capiprovider DLL capisp.dll 10.0.19041.1 Sysprep cleanup dll for CAPI castingshellext.dll 10.0.19041.1 Casting Shell Extensions catsrv.dll 2001.12.10941.16384 COM+ Configuration Catalog Server catsrvps.dll 2001.12.10941.16384 COM+ Configuration Catalog Server Proxy/Stub catsrvut.dll 2001.12.10941.16384 COM+ Configuration Catalog Server Utilities cca.dll 10.0.19041.1 CCA DirectShow Filter. cdosys.dll 6.6.19041.1 Microsoft CDO for Windows Library cdp.dll 10.0.19041.117 Microsoft (R) CDP 客户端 API cdprt.dll 10.0.19041.264 Microsoft (R) CDP 客户端 WinRT API cemapi.dll 10.0.19041.1 CEMAPI certca.dll 10.0.19041.1 Microsoft? Active Directory 证书服务证书颁发机构 certcli.dll 10.0.19041.1 Microsoft (R) Active Directory 证书服务客户端 certcredprovider.dll 10.0.19041.1 证书凭据提供程序 certenc.dll 10.0.19041.1 Active Directory Certificate Services Encoding certenroll.dll 10.0.19041.1 Microsoft (R) Active Directory 证书服务注册客户端 certenrollui.dll 10.0.19041.1 X509 证书注册 UI certmgr.dll 10.0.19041.1 证书管理单元 certpkicmdlet.dll 10.0.19041.1 Microsoft? PKI 客户端 Cmdlet certpoleng.dll 10.0.19041.1 证书策略引擎 cewmdm.dll 12.0.19041.1 Windows CE WMDM 服务提供商 cfgbkend.dll 10.0.19041.1 配置后端接口 cfgmgr32.dll 10.0.19041.1 Configuration Manager DLL cfmifs.dll 10.0.19041.1 FmIfs Engine cfmifsproxy.dll 10.0.19041.1 Microsoft? FmIfs Proxy Library chakra.dll 11.0.19041.264 Microsoft ? Chakra (Private) chakradiag.dll 11.0.19041.264 Microsoft ? Chakra Diagnostics (Private) chakrathunk.dll 10.0.19041.264 chakrathunk.dll chartv.dll 10.0.19041.1 Chart View chatapis.dll 10.0.19041.264 DLL for ChatRT chxreadingstringime.dll 10.0.19041.1 CHxReadingStringIME cic.dll 10.0.19041.1 CIC – 任务板的 MMC 控制 ciwmi.dll 10.0.19041.1 用于 CI 策略管理的 WMIv2 提供程序 clb.dll 10.0.19041.1 栏列表框 clbcatq.dll 2001.12.10941.16384 COM+ Configuration Catalog cldapi.dll 10.0.19041.1 Cloud API user mode API clfsw32.dll 10.0.19041.21 Common Log Marshalling Win32 DLL cliconfg.dll 10.0.19041.1 SQL Client Configuration Utility DLL clipboardserver.dll 10.0.19041.1 现代剪贴板 API 服务器 clipc.dll 10.0.19041.1 客户端授权平台客户端 cloudexperiencehostcommon.dll 10.0.19041.264 CloudExperienceHostCommon cloudexperiencehostuser.dll 10.0.19041.264 CloudExperienceHost User Operations clrhost.dll 10.0.19041.1 In Proc server for managed servers in the Windows Runtime clusapi.dll 10.0.19041.1 群集 API 库 cmcfg32.dll 7.2.19041.1 Microsoft 连接管理器配置 DLL cmct3chs.dll 6.0.0.8163 Microsoft Common Controls 3 Satellite cmdext.dll 10.0.19041.1 cmd.exe Extension DLL cmdial32.dll 7.2.19041.1 Microsoft 连接管理器 cmgrcspps.dll 10.0.19041.1 cmgrcspps cmifw.dll 10.0.19041.1 Windows Defender Firewall rule configuration plug-in cmintegrator.dll 10.0.19041.1 cmintegrator.dll cmlua.dll 7.2.19041.1 连接管理器管理 API 助手类 cmpbk32.dll 7.2.19041.1 Microsoft Connection Manager Phonebook cmstplua.dll 7.2.19041.1 用于安装程序的连接管理器管理 API 帮助程序 cmutil.dll 7.2.19041.1 Microsoft 连接管理器实用工具库 cngcredui.dll 10.0.19041.1 Microsoft CNG CredUI 提供程序 cngprovider.dll 10.0.19041.1 cngprovider DLL cnvfat.dll 10.0.19041.1 FAT File System Conversion Utility DLL colbact.dll 2001.12.10941.16384 COM+ coloradapterclient.dll 10.0.19041.264 Microsoft Color Adapter Client colorcnv.dll 10.0.19041.1 Windows Media Color Conversion colorui.dll 10.0.19041.1 Microsoft 颜色控制面板 combase.dll 10.0.19041.1 用于 Windows 的 Microsoft COM comcat.dll 10.0.19041.1 Microsoft Component Category Manager Library comctl32.dll 5.82.19041.1 用户体验控件库 comdlg32.dll 10.0.19041.1 Common Dialogs DLL coml2.dll 10.0.19041.1 Microsoft COM for Windows common_clang32.dll 4.0.0.0 Intel(R) OpenCL(TM) Runtime compobj.dll 3.10.0.103 Windows Win16 Application Launcher composableshellproxystub.dll 10.0.19041.1 Composable Shell Shared Proxy Stub comppkgsup.dll 10.0.19041.1 Component Package Support DLL compstui.dll 10.0.19041.264 公用属性页用户界面 DLL comrepl.dll 2001.12.10941.16384 COM+ comres.dll 2001.12.10941.16384 COM+ 资源 comsnap.dll 2001.12.10941.16384 COM+ Explorer MMC Snapin comsvcs.dll 2001.12.10941.16384 COM+ Services comuid.dll 2001.12.10941.16384 COM+ Explorer UI concrt140.dll 14.0.24215.1 Microsoft? Concurrency Runtime Library configureexpandedstorage.dll 10.0.19041.264 ConfigureExpandedStorage connect.dll 10.0.19041.1 连接向导 connectedaccountstate.dll 10.0.19041.1 ConnectedAccountState.dll console.dll 10.0.19041.1 控制面板控制台小程序 consolelogon.dll 10.0.19041.264 控制台登录用户体验 contactactivation.dll 10.0.19041.1 DLL for ContactActivation contactapis.dll 10.0.19041.264 DLL for ContactsRT container.dll 10.0.19041.1 Windows Containers coreglobconfig.dll 10.0.19041.1 Core Globalization Configuration coremas.dll coremessaging.dll 10.0.19041.264 Microsoft CoreMessaging Dll coremmres.dll 10.0.19041.1 General Core Multimedia Resources coreshellapi.dll 10.0.19041.1 CoreShellAPI coreuicomponents.dll 10.0.19041.1 Microsoft Core UI Components Dll cpfilters.dll 10.0.19041.264 PTFilter & Encypter/Decrypter Tagger Filters. credprov2fahelper.dll 10.0.19041.1 凭据提供程序 2FA 帮助程序 credprovdatamodel.dll 10.0.19041.264 Cred Prov Data Model credprovhelper.dll 10.0.19041.1 Credential Provider Helper credprovhost.dll 10.0.19041.1 凭据提供程序框架主机 credprovs.dll 10.0.19041.208 凭据提供程序 credprovslegacy.dll 10.0.19041.1 旧版凭据提供程序 credssp.dll 10.0.19041.264 Credential Delegation Security Package credui.dll 10.0.19041.1 Credential Manager User Interface crtdll.dll 4.0.1183.1 Microsoft C Runtime Library crypt32.dll 10.0.19041.21 加密 API32 cryptbase.dll 10.0.19041.1 Base cryptographic API DLL cryptdlg.dll 10.0.19041.1 Microsoft Common Certificate Dialogs cryptdll.dll 10.0.19041.1 Cryptography Manager cryptext.dll 10.0.19041.1 加密外壳扩展 cryptnet.dll 10.0.19041.1 Crypto Network Related API cryptngc.dll 10.0.19041.1 Microsoft Passport API cryptowinrt.dll 10.0.19041.1 Crypto WinRT Library cryptsp.dll 10.0.19041.1 Cryptographic Service Provider API crypttpmeksvc.dll 10.0.19041.1 Cryptographic TPM Endorsement Key Services cryptui.dll 10.0.19041.264 Microsoft 信任 UI 提供程序 cryptuiwizard.dll 10.0.19041.1 Microsoft 信任 UI 提供程序 cryptxml.dll 10.0.19041.1 XML DigSig API cscapi.dll 10.0.19041.1 Offline Files Win32 API cscdll.dll 10.0.19041.1 Offline Files Temporary Shim cscobj.dll 10.0.19041.1 由 CSC API 的客户端使用的进程内 COM 对象 ctl3d32.dll 2.31.0.0 Ctl3D 3D Windows Controls d2d1.dll 10.0.19041.1 Microsoft D2D 库 d3d10.dll 10.0.19041.1 Direct3D 10 Runtime d3d10_1.dll 10.0.19041.1 Direct3D 10.1 Runtime d3d10_1core.dll 10.0.19041.1 Direct3D 10.1 Runtime d3d10core.dll 10.0.19041.1 Direct3D 10 Runtime d3d10level9.dll 10.0.19041.1 Direct3D 10 to Direct3D9 Translation Runtime d3d10warp.dll 10.0.19041.1 Direct3D Rasterizer d3d11.dll 10.0.19041.1 Direct3D 11 Runtime d3d11on12.dll 10.0.19041.1 Direct3D 11On12 Runtime d3d12.dll 10.0.19041.1 Direct3D 12 Runtime d3d8.dll 10.0.19041.1 Microsoft Direct3D d3d8thk.dll 10.0.19041.1 Microsoft Direct3D OS Thunk Layer d3d9.dll 10.0.19041.1 Direct3D 9 Runtime d3d9on12.dll 10.0.19041.1 Direct3D9 DDI to Direct3D12 API Mapping Layer d3dcompiler_33.dll 9.18.904.15 Microsoft Direct3D d3dcompiler_34.dll 9.19.949.46 Microsoft Direct3D d3dcompiler_35.dll 9.19.949.1104 Microsoft Direct3D d3dcompiler_36.dll 9.19.949.2111 Microsoft Direct3D d3dcompiler_37.dll 9.22.949.2248 Microsoft Direct3D d3dcompiler_38.dll 9.23.949.2378 Microsoft Direct3D d3dcompiler_39.dll 9.24.949.2307 Microsoft Direct3D d3dcompiler_40.dll 9.24.950.2656 Direct3D HLSL Compiler d3dcompiler_41.dll 9.26.952.2844 Direct3D HLSL Compiler d3dcompiler_42.dll 9.27.952.3022 Direct3D HLSL Compiler d3dcompiler_43.dll 9.29.952.3111 Direct3D HLSL Compiler d3dcompiler_47.dll 10.0.19041.1 Direct3D HLSL Compiler d3dcsx_42.dll 9.27.952.3022 Direct3D 10.1 Extensions d3dcsx_43.dll 9.29.952.3111 Direct3D 10.1 Extensions d3dim.dll 10.0.19041.1 Microsoft Direct3D d3dim700.dll 10.0.19041.1 Microsoft Direct3D d3dramp.dll 10.0.19041.1 Microsoft Direct3D d3dscache.dll 10.0.19041.1 Microsoft (R) D3D 着色器缓存库 d3dx10.dll 9.16.843.0 Microsoft Direct3D d3dx10_33.dll 9.18.904.21 Microsoft Direct3D d3dx10_34.dll 9.19.949.46 Microsoft Direct3D d3dx10_35.dll 9.19.949.1104 Microsoft Direct3D d3dx10_36.dll 9.19.949.2009 Microsoft Direct3D d3dx10_37.dll 9.19.949.2187 Microsoft Direct3D d3dx10_38.dll 9.23.949.2378 Microsoft Direct3D d3dx10_39.dll 9.24.949.2307 Microsoft Direct3D d3dx10_40.dll 9.24.950.2656 Direct3D 10.1 Extensions d3dx10_41.dll 9.26.952.2844 Direct3D 10.1 Extensions d3dx10_42.dll 9.27.952.3001 Direct3D 10.1 Extensions d3dx10_43.dll 9.29.952.3111 Direct3D 10.1 Extensions d3dx11_42.dll 9.27.952.3022 Direct3D 10.1 Extensions d3dx11_43.dll 9.29.952.3111 Direct3D 10.1 Extensions d3dx9_24.dll 9.5.132.0 Microsoft? DirectX for Windows? d3dx9_25.dll 9.6.168.0 Microsoft? DirectX for Windows? d3dx9_26.dll 9.7.239.0 Microsoft? DirectX for Windows? d3dx9_27.dll 9.8.299.0 Microsoft? DirectX for Windows? d3dx9_28.dll 9.10.455.0 Microsoft? DirectX for Windows? d3dx9_29.dll 9.11.519.0 Microsoft? DirectX for Windows? d3dx9_30.dll 9.12.589.0 Microsoft? DirectX for Windows? d3dx9_31.dll 9.15.779.0 Microsoft? DirectX for Windows? d3dx9_32.dll 9.16.843.0 Microsoft? DirectX for Windows? d3dx9_33.dll 9.18.904.15 Microsoft? DirectX for Windows? d3dx9_34.dll 9.19.949.46 Microsoft? DirectX for Windows? d3dx9_35.dll 9.19.949.1104 Microsoft? DirectX for Windows? d3dx9_36.dll 9.19.949.2111 Microsoft? DirectX for Windows? d3dx9_37.dll 9.22.949.2248 Microsoft? DirectX for Windows? d3dx9_38.dll 9.23.949.2378 Microsoft? DirectX for Windows? d3dx9_39.dll 9.24.949.2307 Microsoft? DirectX for Windows? d3dx9_40.dll 9.24.950.2656 Direct3D 9 Extensions d3dx9_41.dll 9.26.952.2844 Direct3D 9 Extensions d3dx9_42.dll 9.27.952.3001 Direct3D 9 Extensions d3dx9_43.dll 9.29.952.3111 Direct3D 9 Extensions d3dxof.dll 10.0.19041.1 DirectX Files DLL dabapi.dll 10.0.19041.1 Desktop Activity Broker API dafprintprovider.dll 10.0.19041.264 DAF 打印提供程序 DLL daotpcredentialprovider.dll 10.0.19041.1 DirectAccess 一次性密码凭据提供程序 dataclen.dll 10.0.19041.1 Windows 磁盘空间清理程序 dataexchange.dll 10.0.19041.264 Data exchange davclnt.dll 10.0.19041.1 Web DAV Client DLL davhlpr.dll 10.0.19041.1 DAV Helper DLL davsyncprovider.dll 10.0.19041.1 DAV sync engine for contacts, calendar daxexec.dll 10.0.19041.153 daxexec dbgcore.dll 10.0.19041.1 Windows Core Debugging Helpers dbgeng.dll 10.0.19041.1 Windows Symbolic Debugger Engine dbghelp.dll 10.0.19041.1 Windows Image Helper dbgmodel.dll 10.0.19041.1 Windows Debugger Data Model dbnetlib.dll 10.0.19041.1 Winsock Oriented Net DLL for SQL Clients dbnmpntw.dll 10.0.19041.1 Named Pipes Net DLL for SQL Clients dciman32.dll 10.0.19041.264 DCI Manager dcomp.dll 10.0.19041.264 Microsoft DirectComposition Library ddaclsys.dll 10.0.19041.1 SysPrep module for Resetting Data Drive ACL ddisplay.dll 10.0.19041.1 DirectDisplay ddoiproxy.dll 10.0.19041.1 DDOI Interface Proxy ddores.dll 10.0.19041.1 设备类别信息和资源 ddraw.dll 10.0.19041.1 Microsoft DirectDraw ddrawex.dll 10.0.19041.1 Direct Draw Ex defaultdevicemanager.dll 10.0.19041.1 Default Device Manager defaultprinterprovider.dll 10.0.19041.1 Microsoft Windows 默认打印机提供程序 delegatorprovider.dll 10.0.19041.1 WMI PassThru Provider for Storage Management desktopshellappstatecontract.dll 10.0.19041.1 Desktop Switcher Data Model devdispitemprovider.dll 10.0.19041.1 DeviceItem inproc devquery 子系统 devenum.dll 10.0.19041.1 设备枚举。 deviceaccess.dll 10.0.19041.264 Device Broker And Policy COM Server deviceassociation.dll 10.0.19041.1 Device Association Client DLL devicecenter.dll 10.0.19041.1 设备中心 devicecredential.dll 10.0.19041.1 Microsoft Companion Authenticator Client devicedisplaystatusmanager.dll 10.0.19041.1 设备显示状态管理器 deviceflows.datamodel.dll 10.0.19041.1 DeviceFlows DataModel devicengccredprov.dll 10.0.19041.1 Microsoft 随行验证器凭据提供程序 devicepairing.dll 10.0.19041.1 用于设备配对的外壳扩展 devicepairingfolder.dll 10.0.19041.1 设备配对文件夹 devicepairingproxy.dll 10.0.19041.1 Device Pairing Proxy Dll devicereactivation.dll 10.0.19041.264 DeviceReactivation devicesetupstatusprovider.dll 10.0.19041.1 设备安装状态提供程序 Dll deviceuxres.dll 10.0.19041.1 Windows Device User Experience Resource File devmgr.dll 10.0.19041.1 设备管理器 MMC 管理单元 devobj.dll 10.0.19041.1 Device Information Set DLL devrtl.dll 10.0.19041.1 Device Management Run Time Library dfscli.dll 10.0.19041.1 Windows NT Distributed File System Client DLL dfshim.dll 10.0.19041.1 ClickOnce Application Deployment Support Library dfsshlex.dll 10.0.19041.1 分布式文件系统外壳扩展 dhcpcmonitor.dll 10.0.19041.1 DHCP 客户端监视 Dll dhcpcore.dll 10.0.19041.1 DHCP 客户端服务 dhcpcore6.dll 10.0.19041.1 DHCPv6 客户端 dhcpcsvc.dll 10.0.19041.1 DHCP 客户端服务 dhcpcsvc6.dll 10.0.19041.1 DHCPv6 客户端 dhcpsapi.dll 10.0.19041.1 DHCP 服务器 API Stub DLL diagnosticdataquery.dll 10.0.19041.1 Microsoft Windows Diagnostic data Helper API diagnosticinvoker.dll 10.0.19041.264 Microsoft Windows operating system. dialclient.dll 10.0.19041.264 DIAL DLL dictationmanager.dll 10.0.0.1 听写管理器 difxapi.dll 2.1.0.0 Driver Install Frameworks for API library module dimsjob.dll 10.0.19041.1 DIMS 作业 DLL dimsroam.dll 10.0.19041.1 密钥漫游 DIMS 提供程序 DLL dinput.dll 10.0.19041.1 Microsoft DirectInput dinput8.dll 10.0.19041.1 Microsoft DirectInput direct2ddesktop.dll 10.0.19041.1 Microsoft Direct2D Desktop Components directmanipulation.dll 10.0.19041.1 Microsoft Direct Manipulation Component directml.dll 1.0.1911.2111 DirectML Library dismapi.dll 10.0.19041.1 DISM API Framework dispbroker.dll 10.0.19041.1 Display Broker API dispex.dll 5.812.10240.16384 Microsoft ? DispEx display.dll 10.0.19041.1 显示控制面板 displaymanager.dll 10.0.19041.1 DisplayManager dlnashext.dll 10.0.19041.1 DLNA Namespace DLL dmalertlistener.proxystub.dll 10.0.19041.153 ProxyStub for DeviceManagment Alert dmappsres.dll 10.0.19041.1 DMAppsRes dmband.dll 10.0.19041.1 Microsoft DirectMusic Band dmcfgutils.dll 10.0.19041.1 dmcfgutils dmcmnutils.dll 10.0.19041.153 dmcmnutils dmcommandlineutils.dll 10.0.19041.1 dmcommandlineutils dmcompos.dll 10.0.19041.1 Microsoft DirectMusic Composer dmdlgs.dll 10.0.19041.1 Disk Management Snap-in Dialogs dmdskmgr.dll 10.0.19041.1 Disk Management Snap-in Support Library dmdskres.dll 10.0.19041.1 磁盘管理管理单元资源 dmdskres2.dll 10.0.19041.1 磁盘管理管理单元资源 dmenrollengine.dll 10.0.19041.1 Enroll Engine DLL dmime.dll 10.0.19041.1 Microsoft DirectMusic Interactive Engine dmintf.dll 10.0.19041.1 Disk Management DCOM Interface Stub dmiso8601utils.dll 10.0.19041.1 dmiso8601utils dmloader.dll 10.0.19041.1 Microsoft DirectMusic Loader dmocx.dll 10.0.19041.1 TreeView OCX dmoleaututils.dll 10.0.19041.1 dmoleaututils dmprocessxmlfiltered.dll 10.0.19041.1 dmprocessxmlfiltered dmpushproxy.dll 10.0.19041.1 dmpushproxy dmrcdecoder.dll 1.0.0.30 Digimarc Decoder 11/8/2017 6:30 AM [TGNP4W2UT0BB8JC] dmscript.dll 10.0.19041.1 Microsoft DirectMusic Scripting dmstyle.dll 10.0.19041.1 Microsoft DirectMusic Style Engline dmsynth.dll 10.0.19041.1 Microsoft DirectMusic Software Synthesizer dmusic.dll 10.0.19041.1 Microsoft DirectMusic Core Services dmutil.dll 10.0.19041.1 逻辑磁盘管理器实用工具库 dmvdsitf.dll 10.0.19041.1 Disk Management Snap-in Support Library dmxmlhelputils.dll 10.0.19041.1 dmxmlhelputils dnsapi.dll 10.0.19041.1 DNS 客户端 API DLL dnscmmc.dll 10.0.19041.1 DNS 客户端 MMC 管理单元 DLL docprop.dll 10.0.19041.1 OLE DocFile 属性页 dolbydecmft.dll 10.0.19041.153 Media Foundation Dolby Digital Atmos Decoders dot3api.dll 10.0.19041.1 802.3 自动配置 API dot3cfg.dll 10.0.19041.1 802.3 Netsh 帮助程序 dot3dlg.dll 10.0.19041.1 802.3 UI 帮助程序 dot3gpclnt.dll 10.0.19041.1 802.3 组策略客户端 dot3gpui.dll 10.0.19041.1 802.3 网络策略管理管理单元 dot3hc.dll 10.0.19041.1 Dot3 帮助程序类 dot3msm.dll 10.0.19041.1 802.3 媒体特定模块 dot3ui.dll 10.0.19041.1 802.3 高级 UI dpapi.dll 10.0.19041.1 Data Protection API dpapiprovider.dll 10.0.19041.1 dpapiprovider DLL dplayx.dll 10.0.19041.1 DirectPlay Stub dpmodemx.dll 10.0.19041.1 DirectPlay Stub dpnaddr.dll 10.0.19041.1 DirectPlay Stub dpnathlp.dll 10.0.19041.1 DirectPlay Stub dpnet.dll 10.0.19041.1 DirectPlay Stub dpnhpast.dll 10.0.19041.1 DirectPlay Stub dpnhupnp.dll 10.0.19041.1 DirectPlay Stub dpnlobby.dll 10.0.19041.1 DirectPlay Stub dpwsockx.dll 10.0.19041.1 DirectPlay Stub dpx.dll 10.0.19041.1 Microsoft(R) Delta Package Expander dragdropexperiencecommon.dll 10.0.19041.1 In-Proc WinRT server for Windows.Internal.PlatformExtensions.DragDropExperienceCommon dragdropexperiencedataexchangedelegated.dll 10.0.19041.1 In-Proc WinRT server for Windows.Internal.PlatformExtensions.DragDropExperienceDataExchangeDelegated drprov.dll 10.0.19041.1 Microsoft 远程桌面会话主机服务器网络提供程序 drt.dll 10.0.19041.1 分布式路由表 drtprov.dll 10.0.19041.1 Distributed Routing Table Providers drttransport.dll 10.0.19041.1 Distributed Routing Table Transport Provider drvsetup.dll 10.0.19041.1 Microsoft (R) Driver Setup drvstore.dll 10.0.19041.1 Driver Store API dsauth.dll 10.0.19041.1 DS Authorization for Services dsccoreconfprov.dll 6.2.9200.16384 DSC dsclient.dll 10.0.19041.1 Data Sharing Service Client DLL dsdmo.dll 10.0.19041.1 DirectSound Effects dskquota.dll 10.0.19041.1 Windows Shell 磁盘配额支持 DLL dskquoui.dll 10.0.19041.1 Windows Shell 磁盘配额用户界面 DLL dsound.dll 10.0.19041.1 DirectSound dsparse.dll 10.0.19041.1 Active Directory Domain Services API dsprop.dll 10.0.19041.1 Windows Active Directory 属性页 dsquery.dll 10.0.19041.1 目录服务寻找 dsreg.dll 10.0.19041.1 AD/AAD 用户设备注册 dsregtask.dll 10.0.19041.1 DSREG 任务处理程序 dsrole.dll 10.0.19041.1 DS Setup Client DLL dssec.dll 10.0.19041.1 目录服务安全 UI dssenh.dll 10.0.19041.1 Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider dsui.dll 10.0.19041.1 设备安装用户界面页 dsuiext.dll 10.0.19041.1 目录服务常用用户界面 dswave.dll 10.0.19041.1 Microsoft DirectMusic Wave dtsh.dll 10.0.19041.1 检测和共享状态状态 API dui70.dll 10.0.19041.1 Windows DirectUI 引擎 duser.dll 10.0.19041.1 Windows DirectUser Engine dusmapi.dll 10.0.19041.1 Data Usage API dwmapi.dll 10.0.19041.1 Microsoft 桌面窗口管理器 API dwrite.dll 10.0.19041.264 Microsoft DirectX 版式服务 dxcore.dll 10.0.19041.1 DXCore dxdiagn.dll 10.0.19041.1 Microsoft DirectX 诊断工具 dxgi.dll 10.0.19041.1 DirectX Graphics Infrastructure dxilconv.dll 10.0.19041.1 DirectX IL Converter DLL dxmasf.dll 12.0.19041.1 Microsoft Windows Media Component Removal File. dxptasksync.dll 10.0.19041.1 Microsoft Windows DXP Sync。 dxtmsft.dll 11.0.19041.1 DirectX Media -- Image DirectX Transforms dxtrans.dll 11.0.19041.1 DirectX Media -- DirectX Transform Core dxva2.dll 10.0.19041.1 DirectX Video Acceleration 2.0 DLL eapp3hst.dll 10.0.19041.1 Microsoft ThirdPartyEapDispatcher eappcfg.dll 10.0.19041.1 Eap Peer Config eappgnui.dll 10.0.19041.1 EAP 通用 UI eapphost.dll 10.0.19041.1 Microsoft EAPHost 对等服务 eappprxy.dll 10.0.19041.1 Microsoft EAPHost Peer Client DLL eapprovp.dll 10.0.19041.1 EAP extension DLL eapputil.dll 10.0.19041.1 EAP Private Utility DLL eapsimextdesktop.dll 10.0.19041.1 EAP SIM EXT config dll eapteapconfig.dll 10.0.19041.1 EAP Teap Config DLL eapteapext.dll 10.0.19041.1 EAP Teap 桌面扩展 DLL easwrt.dll 10.0.19041.264 Exchange ActiveSync Windows Runtime DLL edgehtml.dll 11.0.19041.264 Microsoft Edge Web 平台 edgeiso.dll 11.0.19041.264 Isolation Library for edgehtml hosts edgemanager.dll 11.0.19041.264 Microsoft Edge Manager editbuffertesthook.dll 10.0.19041.1 "EditBufferTestHook.DYNLINK" editionupgradehelper.dll 10.0.19041.1 EDITIONUPGRADEHELPER.DLL editionupgrademanagerobj.dll 10.0.19041.1 获取 Windows 许可证 edpauditapi.dll 10.0.19041.1 EDP Audit API edputil.dll 10.0.19041.1 EDP 实用程序 efsadu.dll 10.0.19041.1 文件加密实用工具 efsext.dll 10.0.19041.1 EFSEXT.DLL efsutil.dll 10.0.19041.1 EFS Utility Library efswrt.dll 10.0.19041.264 Storage Protection Windows Runtime DLL ehstorapi.dll 10.0.19041.1 Windows 增强的存储 API ehstorpwdmgr.dll 10.0.19041.1 Microsoft 增强的存储密码管理器 els.dll 10.0.19041.1 事件查看器管理单元 elscore.dll 10.0.19041.1 Els 核心平台 DLL elshyph.dll 10.0.19041.1 ELS Hyphenation Service elslad.dll 10.0.19041.1 ELS Language Detection elstrans.dll 10.0.19041.1 ELS Transliteration Service emailapis.dll 10.0.19041.264 DLL for EmailRT embeddedmodesvcapi.dll 10.0.19041.1 Embedded Mode Service Client DLL encapi.dll 10.0.19041.1 Encoder API enrollmentapi.dll 10.0.19041.1 Legacy Phone Enrollment API BackCompat Shim enterpriseappmgmtclient.dll 10.0.19041.1 EnterpriseAppMgmtClient.dll enterpriseresourcemanager.dll 10.0.19041.153 enterpriseresourcemanager DLL eqossnap.dll 10.0.19041.1 EQoS 管理单元扩展 errordetails.dll 10.0.19041.264 Microsoft Windows operating system. errordetailscore.dll 10.0.19041.1 Microsoft Windows operating system. es.dll 2001.12.10941.16384 COM+ esdsip.dll 10.0.19041.1 Crypto SIP provider for signing and verifying .esd Electronic Software Distribution files esent.dll 10.0.19041.1 Microsoft(R) Windows(R) 的可扩展存储引擎 esentprf.dll 10.0.19041.1 Extensible Storage Engine Performance Monitoring Library for Microsoft(R) Windows(R) esevss.dll 10.0.19041.1 Microsoft(R) ESENT shadow utilities etwcoreuicomponentsresources.dll 10.0.19041.1 Microsoft CoreComponents UI ETW manifest Dll etweseproviderresources.dll 10.0.19041.1 Microsoft ESE ETW etwrundown.dll 10.0.19041.1 Etw Rundown Helper Library eventcls.dll 10.0.19041.1 Microsoft? Volume Shadow Copy Service event class evr.dll 10.0.19041.1 增强的视频呈现器 DLL execmodelclient.dll 10.0.19041.264 ExecModelClient execmodelproxy.dll 10.0.19041.1 ExecModelProxy explorerframe.dll 10.0.19041.1 ExplorerFrame expsrv.dll 6.0.72.9589 Visual Basic for Applications Runtime - Expression Service exsmime.dll 10.0.19041.1 LExsmime extrasxmlparser.dll 10.0.19041.1 Extras XML parser used to extract extension information from XML f3ahvoas.dll 10.0.19041.1 JP Japanese Keyboard Layout for Fujitsu FMV oyayubi-shift keyboard faultrep.dll 10.0.19041.264 Windows 用户模式故障报告 DLL fdbth.dll 10.0.19041.1 Function Discovery Bluetooth Provider Dll fdbthproxy.dll 10.0.19041.1 Bluetooth Provider Proxy Dll fddevquery.dll 10.0.19041.1 Microsoft Windows Device Query Helper fde.dll 10.0.19041.1 文件夹重定向管理单元扩展 fdeploy.dll 10.0.19041.1 文件夹重定向组策略扩展 fdpnp.dll 10.0.19041.1 Pnp Provider Dll fdprint.dll 10.0.19041.1 功能发现打印提供程序 Dll fdproxy.dll 10.0.19041.1 Function Discovery Proxy Dll fdssdp.dll 10.0.19041.84 Function Discovery SSDP Provider Dll fdwcn.dll 10.0.19041.1 Windows Connect Now - Config Function Discovery Provider DLL fdwnet.dll 10.0.19041.1 Function Discovery WNet Provider Dll fdwsd.dll 10.0.19041.264 Function Discovery WS Discovery Provider Dll feclient.dll 10.0.19041.1 Windows NT File Encryption Client Interfaces ffbroker.dll 10.0.19041.264 Force Feedback Broker And Policy COM Server fidocredprov.dll 10.0.19041.1 FIDO 凭据提供程序 filemgmt.dll 10.0.19041.1 服务和共享文件夹 findnetprinters.dll 10.0.19041.264 Find Network Printers COM Component fingerprintcredential.dll 10.0.19041.1 WinBio 指纹凭据 firewallapi.dll 10.0.19041.1 Windows Defender 防火墙 API firewallcontrolpanel.dll 10.0.19041.1 Windows Defender 防火墙控制面板 flightsettings.dll 10.0.19041.264 飞行设置 fltlib.dll 10.0.19041.1 筛选器库 fm20.dll 2.1.7017.1 Microsoft? Forms DLL fm20chs.dll 2.1.7017.1 Microsoft (R) Forms International DLL fm20enu.dll 2.1.7017.1 Microsoft? Forms International DLL fmifs.dll 10.0.19041.1 FM IFS Utility DLL fms.dll 10.0.19041.1 字体管理服务 fontext.dll 10.0.19041.1 Windows 字体文件夹 fontglyphanimator.dll 10.0.19041.1 Font Glyph Animator fontsub.dll 10.0.19041.264 Font Subsetting DLL fphc.dll 10.0.19041.1 筛选平台帮助程序类 framedyn.dll 10.0.19041.1 WMI SDK Provider Framework framedynos.dll 10.0.19041.1 WMI SDK Provider Framework frameserverclient.dll 10.0.19041.1 Frame Server Client DLL frprov.dll 10.0.19041.1 Folder Redirection WMI Provider fsutilext.dll 10.0.19041.1 FS Utility Extension DLL fundisc.dll 10.0.19041.1 功能发现 Dll fveapi.dll 10.0.19041.1 Windows BitLocker Drive Encryption API fveapibase.dll 10.0.19041.1 Windows BitLocker Drive Encryption Base API fvecerts.dll 10.0.19041.1 BitLocker Certificates Library fwbase.dll 10.0.19041.1 Firewall Base DLL fwcfg.dll 10.0.19041.1 Windows Defender 防火墙配置帮助程序 fwpolicyiomgr.dll 10.0.19041.1 FwPolicyIoMgr DLL fwpuclnt.dll 10.0.19041.1 FWP/IPsec 用户模式 API fwremotesvr.dll 10.0.19041.1 Windows Defender Firewall Remote APIs Server fxsapi.dll 10.0.19041.1 Microsoft Fax API Support DLL fxscom.dll 10.0.19041.1 Microsoft Fax Server COM Client Interface fxscomex.dll 10.0.19041.1 Microsoft Fax Server Extended COM Client Interface fxsext32.dll 10.0.19041.1 Microsoft Fax Exchange Command Extension fxsresm.dll 10.0.19041.1 Microsoft 传真资源 DLL fxsxp32.dll 10.0.19041.1 Microsoft Fax Transport Provider gamebarpresencewriter.proxy.dll 10.0.19041.1 GameBar Presence Writer Proxy gamechatoverlayext.dll 10.0.19041.1 GameChat Overlay Extension gamechattranscription.dll 10.0.19041.1 GameChatTranscription gameinput.dll 0.1908.19041.264 GameInput API gamemode.dll 10.0.19041.1 Game Mode Client gamepanelexternalhook.dll 10.0.19041.1 GamePanelExternalHook.dll gamingtcui.dll 10.0.19041.264 Windows Gaming Internal CallableUI dll gcdef.dll 10.0.19041.1 游戏控制器默认表 gdi32.dll 10.0.19041.1 GDI Client DLL gdi32full.dll 10.0.19041.264 GDI Client DLL gdiplus.dll 10.0.19041.264 Microsoft GDI+ geolocation.dll 10.0.19041.264 地理定位运行时 DLL getuname.dll 10.0.19041.1 UCE 的 Unicode 名称 DLL glmf32.dll 10.0.19041.1 OpenGL Metafiling DLL globinputhost.dll 10.0.19041.1 Windows Globalization Extension API for Input glu32.dll 10.0.19041.1 OpenGL 实用工具库 DLL gmsaclient.dll 10.0.19041.1 "gmsaclient.DYNLINK" gnsdk_fp.dll 3.9.511.0 Gracenote SDK component gpapi.dll 10.0.19041.1 组策略客户端 API gpedit.dll 10.0.19041.1 GPEdit gpprefcl.dll 10.0.19041.1 组策略首选客户端 gpprnext.dll 10.0.19041.1 组策略打印机扩展 gpscript.dll 10.0.19041.1 脚本客户端扩展 gptext.dll 10.0.19041.1 GPTExt graphicscapture.dll 10.0.19041.1 Microsoft Windows Graphics Capture Api hbaapi.dll 10.0.19041.1 HBA API data interface dll for HBA_API_Rev_2-18_2002MAR1.doc hcproviders.dll 10.0.19041.1 安全和维护提供程序 hdcphandler.dll 10.0.19041.1 Hdcp Handler DLL heatcore.dll helppaneproxy.dll 10.0.19041.1 Microsoft? Help Proxy hgcpl.dll 10.0.19041.1 家庭组控制面板 hhsetup.dll 10.0.19041.1 Microsoft? HTML Help hid.dll 10.0.19041.1 HID 用户库 hidserv.dll 10.0.19041.1 人机接口设备服务 hlink.dll 10.0.19041.1 Microsoft Office 2000 组件 hmkd.dll 10.0.19041.1 Windows HMAC Key Derivation API hnetcfg.dll 10.0.19041.1 家庭网络配置管理器 hnetcfgclient.dll 10.0.19041.1 家庭网络配置 API 客户端 hnetmon.dll 10.0.19041.1 家庭网络监视程序 DLL holoshellruntime.dll 10.0.19041.264 Hologram Shell Runtime hrtfapo.dll 10.0.19041.1 HrtfApo.dll httpapi.dll 10.0.19041.1 HTTP Protocol Stack API htui.dll 10.0.19041.1 通用半色调颜色调整对话框 ia2comproxy.dll 10.0.19041.1 IAccessible2 COM Proxy Stub DLL ias.dll 10.0.19041.1 网络策略服务器 iasacct.dll 10.0.19041.1 NPS 记帐提供程序 iasads.dll 10.0.19041.1 NPS Active Directory 数据存储 iasdatastore.dll 10.0.19041.1 NPS 数据存储服务器 iashlpr.dll 10.0.19041.1 NPS Surrogate 组件 iasmigplugin.dll 10.0.19041.1 NPS Migration DLL iasnap.dll 10.0.19041.1 NPS NAP Provider iaspolcy.dll 10.0.19041.1 NPS Pipeline iasrad.dll 10.0.19041.1 NPS RADIUS 协议组件 iasrecst.dll 10.0.19041.1 NPS XML Datastore Access iassam.dll 10.0.19041.1 NPS NT SAM Provider iassdo.dll 10.0.19041.1 NPS SDO 组件 iassvcs.dll 10.0.19041.1 NPS 服务组件 icm32.dll 10.0.19041.264 Microsoft Color Management Module (CMM) icmp.dll 10.0.19041.1 ICMP DLL icmui.dll 10.0.19041.1 Microsoft 颜色匹配系统用户界面 DLL iconcodecservice.dll 10.0.19041.1 Converts a PNG part of the icon to a legacy bmp icon icsigd.dll 10.0.19041.1 Internet 网络设备属性 icu.dll 64.2.0.0 ICU Combined Library icuin.dll 64.2.0.0 ICU I18N Forwarder DLL icuuc.dll 64.2.0.0 ICU Common Forwarder DLL idctrls.dll 10.0.19041.1 标识控件 idndl.dll 10.0.19041.1 Downlevel DLL idstore.dll 10.0.19041.1 Identity Store ieadvpack.dll 11.0.19041.1 ADVPACK ieapfltr.dll 11.0.19041.1 Microsoft SmartScreen Filter iedkcs32.dll 18.0.19041.1 IEAK branding ieframe.dll 11.0.19041.264 Internet 浏览器 iemigplugin.dll 11.0.19041.264 IE Migration Plugin iepeers.dll 11.0.19041.1 Internet Explorer 对等客户对象 ieproxy.dll 11.0.19041.1 IE ActiveX Interface Marshaling Library iernonce.dll 11.0.19041.1 带用户界面的扩展 RunOnce 处理 iertutil.dll 11.0.19041.1 Internet Explorer 的运行时实用程序 iesetup.dll 11.0.19041.1 IOD 版本映射 iesysprep.dll 11.0.19041.1 IE Sysprep Provider ieui.dll 11.0.19041.1 Internet Explorer UI 引擎 ifmon.dll 10.0.19041.1 IF 监视程序 DLL ifsutil.dll 10.0.19041.1 IFS Utility DLL ifsutilx.dll 10.0.19041.1 IFS Utility Extension DLL ig75icd32.dll 20.19.15.4463 OpenGL(R) Driver for Intel(R) Graphics Accelerator igc32.dll 20.19.15.4463 Intel Graphics Shader Compiler for Intel(R) Graphics Accelerator igd10idpp32.dll 20.19.15.4463 User Mode DPP Driver for Intel(R) Graphics Technology igd10iumd32.dll 20.19.15.4463 User Mode Driver for Intel(R) Graphics Technology igd11dxva32.dll 20.19.15.4463 User Mode Driver for Intel(R) Graphics Technology igd12umd32.dll 20.19.15.4463 User Mode Driver for Intel(R) Graphics Technology igdail32.dll 20.19.15.4463 Application Settings for Intel(R) Graphics Technology igdbcl32.dll 20.19.15.4463 OpenCL User Mode Driver for Intel(R) Graphics Technology igdde32.dll 20.19.15.4463 User Mode Driver for Intel(R) Graphics Technology igdfcl32.dll 20.19.15.4463 OpenCL User Mode Driver for Intel(R) Graphics Technology igdmcl32.dll 20.19.15.4463 OpenCL User Mode Driver for Intel(R) Graphics Technology igdmd32.dll 20.19.15.4463 Metrics Discovery API for Intel(R) Graphics Accelerator igdrcl32.dll 20.19.15.4463 OpenCL User Mode Driver for Intel(R) Graphics Technology igdumdim32.dll 20.19.15.4463 User Mode Driver for Intel(R) Graphics Technology igdusc32.dll 20.19.15.4463 Unified Shader Compiler for Intel(R) Graphics Accelerator igfx11cmrt32.dll 5.0.0.1148 MDF(CM) Runtime DX11 Dynamic Link Library igfxcmjit32.dll 5.0.0.1148 MDF(CM) JIT Dynamic Link Library igfxcmrt32.dll 5.0.0.1148 MDF(CM) Runtime Dynamic Link Library igfxexps32.dll 6.15.10.3682 igfxext Module iglhcp32.dll 3.0.1.26 iglhcp32 Dynamic Link Library iglhsip32.dll 9.0.30.9000 iglhsip32 Dynamic Link Library imagehlp.dll 10.0.19041.1 Windows NT Image Helper imageres.dll 10.0.19041.1 Windows Image Resource imagesp1.dll 10.0.19041.1 Windows SP1 Image Resource imapi.dll 10.0.19041.1 映像控制 API imapi2.dll 10.0.19041.1 映像控制 API v2 imapi2fs.dll 10.0.19041.1 映像控制文件系统映像 API v2 imgutil.dll 11.0.19041.1 IE plugin image decoder support DLL imm32.dll 10.0.19041.1 Multi-User Windows IMM32 API Client DLL indexeddblegacy.dll 10.0.19041.264 "IndexedDbLegacy.DYNLINK" inetcomm.dll 10.0.19041.1 Microsoft Internet Messaging API Resources inetmib1.dll 10.0.19041.1 Microsoft MIB-II subagent inetres.dll 10.0.19041.1 Microsoft Internet Messaging API Resources inked.dll 10.0.19041.1 Microsoft Tablet PC InkEdit Control inkobjcore.dll 10.0.19041.1 Microsoft 平板电脑墨迹平台组件 input.dll 10.0.19041.1 输入设置 DLL inputhost.dll 10.0.19041.264 InputHost inputinjectionbroker.dll 10.0.19041.1 Broker for WinRT input injection. inputswitch.dll 10.0.19041.1 Microsoft Windows 输入切换器 inseng.dll 11.0.19041.1 安装引擎 installservice.dll 10.0.19041.264 InstallService installservicetasks.dll 10.0.19041.207 InstallService Tasks intel_opencl_icd32.dll 2.0.2.0 OpenCL Client DLL intelopencl32.dll 20.19.15.4463 Intel(R) OpenCL(TM) Common Runtime Driver iologmsg.dll 10.0.19041.1 IO 日志 DLL ipeloggingdictationhelper.dll 1.0.0.1 IPE Logging Library Helper iphlpapi.dll 10.0.19041.1 IP 帮助程序 API ipnathlpclient.dll 10.0.19041.1 IP NAT 帮助程序客户端 iprop.dll 10.0.19041.1 OLE PropertySet Implementation iprtprio.dll 10.0.19041.1 IP Routing Protocol Priority DLL iprtrmgr.dll 10.0.19041.1 IP 路由器管理器 ipsecsnp.dll 10.0.19041.1 IP 安全策略管理管理单元 ipsmsnap.dll 10.0.19041.1 IP 安全监视程序管理单元 iri.dll 10.0.19041.1 iri iscsicpl.dll 5.2.3790.1830 iSCSI 发起程序控制面板小程序 iscsidsc.dll 10.0.19041.1 iSCSI 发现 API iscsied.dll 10.0.19041.1 iSCSI Extension DLL iscsium.dll 10.0.19041.1 iSCSI Discovery api iscsiwmi.dll 10.0.19041.1 MS iSCSI Initiator WMI Provider iscsiwmiv2.dll 10.0.19041.1 WMI Provider for iSCSI itircl.dll 10.0.19041.1 Microsoft? InfoTech IR Local DLL itss.dll 10.0.19041.1 Microsoft? InfoTech Storage System Library iyuv_32.dll 10.0.19041.1 Intel Indeo(R) Video YUV 编码解码器 javascriptcollectionagent.dll 11.0.19041.1 JavaScript Performance Collection Agent joinproviderol.dll 10.0.19041.1 联机加入提供程序 DLL joinutil.dll 10.0.19041.1 Join Utility DLL jscript.dll 5.812.10240.16384 Microsoft (R) JScript jscript9.dll 11.0.19041.153 Microsoft (R) JScript jscript9diag.dll 11.0.19041.153 Microsoft ? JScript Diagnostics jsproxy.dll 11.0.19041.117 JScript Proxy Auto-Configuration kbd101.dll 10.0.19041.1 JP Japanese Keyboard Layout for 101 kbd101a.dll 10.0.19041.1 KO Hangeul Keyboard Layout for 101 (Type A) kbd101b.dll 10.0.19041.1 KO Hangeul Keyboard Layout for 101(Type B) kbd101c.dll 10.0.19041.1 KO Hangeul Keyboard Layout for 101(Type C) kbd103.dll 10.0.19041.1 KO Hangeul Keyboard Layout for 103 kbd106.dll 10.0.19041.1 JP Japanese Keyboard Layout for 106 kbd106n.dll 10.0.19041.1 JP Japanese Keyboard Layout for 106 kbda1.dll 10.0.19041.1 Arabic_English_101 Keyboard Layout kbda2.dll 10.0.19041.1 Arabic_2 Keyboard Layout kbda3.dll 10.0.19041.1 Arabic_French_102 Keyboard Layout kbdadlm.dll 10.0.19041.1 Adlam Keyboard Layout kbdal.dll 10.0.19041.1 Albania Keyboard Layout kbdarme.dll 10.0.19041.1 Eastern Armenian Keyboard Layout kbdarmph.dll 10.0.19041.1 Armenian Phonetic Keyboard Layout kbdarmty.dll 10.0.19041.1 Armenian Typewriter Keyboard Layout kbdarmw.dll 10.0.19041.1 Western Armenian Keyboard Layout kbdax2.dll 10.0.19041.1 JP Japanese Keyboard Layout for AX2 kbdaze.dll 10.0.19041.1 Azerbaijan_Cyrillic Keyboard Layout kbdazel.dll 10.0.19041.1 Azeri-Latin Keyboard Layout kbdazst.dll 10.0.19041.1 Azerbaijani (Standard) Keyboard Layout kbdbash.dll 10.0.19041.1 Bashkir Keyboard Layout kbdbe.dll 10.0.19041.1 Belgian Keyboard Layout kbdbene.dll 10.0.19041.1 Belgian Dutch Keyboard Layout kbdbgph.dll 10.0.19041.1 Bulgarian Phonetic Keyboard Layout kbdbgph1.dll 10.0.19041.1 Bulgarian (Phonetic Traditional) Keyboard Layout kbdbhc.dll 10.0.19041.1 Bosnian (Cyrillic) Keyboard Layout kbdblr.dll 10.0.19041.1 Belarusian Keyboard Layout kbdbr.dll 10.0.19041.1 Brazilian Keyboard Layout kbdbu.dll 10.0.19041.1 Bulgarian (Typewriter) Keyboard Layout kbdbug.dll 10.0.19041.1 Buginese Keyboard Layout kbdbulg.dll 10.0.19041.1 Bulgarian Keyboard Layout kbdca.dll 10.0.19041.1 Canadian Multilingual Keyboard Layout kbdcan.dll 10.0.19041.1 Canadian Multilingual Standard Keyboard Layout kbdcher.dll 10.0.19041.1 Cherokee Nation Keyboard Layout kbdcherp.dll 10.0.19041.1 Cherokee Phonetic Keyboard Layout kbdcr.dll 10.0.19041.1 Croatian/Slovenian Keyboard Layout kbdcz2.dll 10.0.19041.1 Czech_Programmer's Keyboard Layout kbdda.dll 10.0.19041.1 Danish Keyboard Layout kbddiv1.dll 10.0.19041.1 Divehi Phonetic Keyboard Layout kbddiv2.dll 10.0.19041.1 Divehi Typewriter Keyboard Layout kbddv.dll 10.0.19041.1 Dvorak US English Keyboard Layout kbddzo.dll 10.0.19041.1 Dzongkha Keyboard Layout kbdes.dll 10.0.19041.1 Spanish Alernate Keyboard Layout kbdest.dll 10.0.19041.1 Estonia Keyboard Layout kbdfa.dll 10.0.19041.1 Persian Keyboard Layout kbdfar.dll 10.0.19041.1 Persian Standard Keyboard Layout kbdfc.dll 10.0.19041.1 Canadian French Keyboard Layout kbdfi.dll 10.0.19041.1 Finnish Keyboard Layout kbdfi1.dll 10.0.19041.1 Finnish-Swedish with Sami Keyboard Layout kbdfo.dll 10.0.19041.1 F?roese Keyboard Layout kbdfr.dll 10.0.19041.1 French Keyboard Layout kbdfthrk.dll 10.0.19041.1 Futhark Keyboard Layout kbdgae.dll 10.0.19041.1 Scottish Gaelic (United Kingdom) Keyboard Layout kbdgeo.dll 10.0.19041.1 Georgian Keyboard Layout kbdgeoer.dll 10.0.19041.1 Georgian (Ergonomic) Keyboard Layout kbdgeome.dll 10.0.19041.1 Georgian (MES) Keyboard Layout kbdgeooa.dll 10.0.19041.1 Georgian (Old Alphabets) Keyboard Layout kbdgeoqw.dll 10.0.19041.1 Georgian (QWERTY) Keyboard Layout kbdgkl.dll 10.0.19041.1 Greek_Latin Keyboard Layout kbdgn.dll 10.0.19041.1 Guarani Keyboard Layout kbdgr.dll 10.0.19041.1 German Keyboard Layout kbdgr1.dll 10.0.19041.1 German_IBM Keyboard Layout kbdgrlnd.dll 10.0.19041.1 Greenlandic Keyboard Layout kbdgthc.dll 10.0.19041.1 Gothic Keyboard Layout kbdhau.dll 10.0.19041.1 Hausa Keyboard Layout kbdhaw.dll 10.0.19041.1 Hawaiian Keyboard Layout kbdhe.dll 10.0.19041.1 Greek Keyboard Layout kbdhe220.dll 10.0.19041.1 Greek IBM 220 Keyboard Layout kbdhe319.dll 10.0.19041.1 Greek IBM 319 Keyboard Layout kbdheb.dll 10.0.19041.1 KBDHEB Keyboard Layout kbdhebl3.dll 10.0.19041.1 Hebrew Standard Keyboard Layout kbdhela2.dll 10.0.19041.1 Greek IBM 220 Latin Keyboard Layout kbdhela3.dll 10.0.19041.1 Greek IBM 319 Latin Keyboard Layout kbdhept.dll 10.0.19041.1 Greek_Polytonic Keyboard Layout kbdhu.dll 10.0.19041.1 Hungarian Keyboard Layout kbdhu1.dll 10.0.19041.1 Hungarian 101-key Keyboard Layout kbdibm02.dll 10.0.19041.1 JP Japanese Keyboard Layout for IBM 5576-002/003 kbdibo.dll 10.0.19041.1 Igbo Keyboard Layout kbdic.dll 10.0.19041.1 Icelandic Keyboard Layout kbdinasa.dll 10.0.19041.1 Assamese (Inscript) Keyboard Layout kbdinbe1.dll 10.0.19041.1 Bengali - Inscript (Legacy) Keyboard Layout kbdinbe2.dll 10.0.19041.1 Bengali (Inscript) Keyboard Layout kbdinben.dll 10.0.19041.1 Bengali Keyboard Layout kbdindev.dll 10.0.19041.1 Devanagari Keyboard Layout kbdinen.dll 10.0.19041.1 English (India) Keyboard Layout kbdinguj.dll 10.0.19041.1 Gujarati Keyboard Layout kbdinhin.dll 10.0.19041.1 Hindi Keyboard Layout kbdinkan.dll 10.0.19041.1 Kannada Keyboard Layout kbdinmal.dll 10.0.19041.1 Malayalam Keyboard Layout Keyboard Layout kbdinmar.dll 10.0.19041.1 Marathi Keyboard Layout kbdinori.dll 10.0.19041.1 Odia Keyboard Layout kbdinpun.dll 10.0.19041.1 Punjabi/Gurmukhi Keyboard Layout kbdintam.dll 10.0.19041.1 Tamil Keyboard Layout kbdintel.dll 10.0.19041.1 Telugu Keyboard Layout kbdinuk2.dll 10.0.19041.1 Inuktitut Naqittaut Keyboard Layout kbdir.dll 10.0.19041.1 Irish Keyboard Layout kbdit.dll 10.0.19041.1 Italian Keyboard Layout kbdit142.dll 10.0.19041.1 Italian 142 Keyboard Layout kbdiulat.dll 10.0.19041.1 Inuktitut Latin Keyboard Layout kbdjav.dll 10.0.19041.1 Javanese Keyboard Layout kbdjpn.dll 10.0.19041.1 JP Japanese Keyboard Layout Stub driver kbdkaz.dll 10.0.19041.1 Kazak_Cyrillic Keyboard Layout kbdkhmr.dll 10.0.19041.1 Cambodian Standard Keyboard Layout kbdkni.dll 10.0.19041.1 Khmer (NIDA) Keyboard Layout kbdkor.dll 10.0.19041.1 KO Hangeul Keyboard Layout Stub driver kbdkurd.dll 10.0.19041.1 Central Kurdish Keyboard Layout kbdkyr.dll 10.0.19041.1 Kyrgyz Keyboard Layout kbdla.dll 10.0.19041.1 Latin-American Spanish Keyboard Layout kbdlao.dll 10.0.19041.1 Lao Standard Keyboard Layout kbdlisub.dll 10.0.19041.1 Lisu Basic Keyboard Layout kbdlisus.dll 10.0.19041.1 Lisu Standard Keyboard Layout kbdlk41a.dll 10.0.19041.1 DEC LK411-AJ Keyboard Layout kbdlt.dll 10.0.19041.1 Lithuania Keyboard Layout kbdlt1.dll 10.0.19041.1 Lithuanian Keyboard Layout kbdlt2.dll 10.0.19041.1 Lithuanian Standard Keyboard Layout kbdlv.dll 10.0.19041.1 Latvia Keyboard Layout kbdlv1.dll 10.0.19041.1 Latvia-QWERTY Keyboard Layout kbdlvst.dll 10.0.19041.1 Latvian (Standard) Keyboard Layout kbdmac.dll 10.0.19041.1 Macedonian (North Macedonia) Keyboard Layout kbdmacst.dll 10.0.19041.1 Macedonian (North Macedonia) - Standard Keyboard Layout kbdmaori.dll 10.0.19041.1 Maori Keyboard Layout kbdmlt47.dll 10.0.19041.1 Maltese 47-key Keyboard Layout kbdmlt48.dll 10.0.19041.1 Maltese 48-key Keyboard Layout kbdmon.dll 10.0.19041.1 Mongolian Keyboard Layout kbdmonmo.dll 10.0.19041.1 Mongolian (Mongolian Script) Keyboard Layout kbdmonst.dll 10.0.19041.1 Traditional Mongolian (Standard) Keyboard Layout kbdmyan.dll 10.0.19041.1 Myanmar Keyboard Layout kbdne.dll 10.0.19041.1 Dutch Keyboard Layout kbdnec.dll 10.0.19041.1 JP Japanese Keyboard Layout for (NEC PC-9800) kbdnec95.dll 10.0.19041.1 JP Japanese Keyboard Layout for (NEC PC-9800 Windows 95) kbdnecat.dll 10.0.19041.1 JP Japanese Keyboard Layout for (NEC PC-9800 on PC98-NX) kbdnecnt.dll 10.0.19041.1 JP Japanese NEC PC-9800 Keyboard Layout kbdnepr.dll 10.0.19041.1 Nepali Keyboard Layout kbdnko.dll 10.0.19041.1 N'Ko Keyboard Layout kbdno.dll 10.0.19041.1 Norwegian Keyboard Layout kbdno1.dll 10.0.19041.1 Norwegian with Sami Keyboard Layout kbdnso.dll 10.0.19041.1 Sesotho sa Leboa Keyboard Layout kbdntl.dll 10.0.19041.1 New Tai Leu Keyboard Layout kbdogham.dll 10.0.19041.1 Ogham Keyboard Layout kbdolch.dll 10.0.19041.1 Ol Chiki Keyboard Layout kbdoldit.dll 10.0.19041.1 Old Italic Keyboard Layout kbdosa.dll 10.0.19041.1 Osage Keyboard Layout kbdosm.dll 10.0.19041.1 Osmanya Keyboard Layout kbdpash.dll 10.0.19041.1 Pashto (Afghanistan) Keyboard Layout kbdphags.dll 10.0.19041.1 Phags-pa Keyboard Layout kbdpl.dll 10.0.19041.1 Polish Keyboard Layout kbdpl1.dll 10.0.19041.1 Polish Programmer's Keyboard Layout kbdpo.dll 10.0.19041.1 Portuguese Keyboard Layout kbdro.dll 10.0.19041.1 Romanian (Legacy) Keyboard Layout kbdropr.dll 10.0.19041.1 Romanian (Programmers) Keyboard Layout kbdrost.dll 10.0.19041.1 Romanian (Standard) Keyboard Layout kbdru.dll 10.0.19041.1 Russian Keyboard Layout kbdru1.dll 10.0.19041.1 Russia(Typewriter) Keyboard Layout kbdrum.dll 10.0.19041.1 Russian - Mnemonic Keyboard Layout kbdsf.dll 10.0.19041.1 Swiss French Keyboard Layout kbdsg.dll 10.0.19041.1 Swiss German Keyboard Layout kbdsl.dll 10.0.19041.1 Slovak Keyboard Layout kbdsl1.dll 10.0.19041.1 Slovak(QWERTY) Keyboard Layout kbdsmsfi.dll 10.0.19041.1 Sami Extended Finland-Sweden Keyboard Layout kbdsmsno.dll 10.0.19041.1 Sami Extended Norway Keyboard Layout kbdsn1.dll 10.0.19041.1 Sinhala Keyboard Layout kbdsora.dll 10.0.19041.1 Sora Keyboard Layout kbdsorex.dll 10.0.19041.1 Sorbian Extended Keyboard Layout kbdsors1.dll 10.0.19041.1 Sorbian Standard Keyboard Layout kbdsorst.dll 10.0.19041.1 Sorbian Standard (Legacy) Keyboard Layout kbdsp.dll 10.0.19041.1 Spanish Keyboard Layout kbdsw.dll 10.0.19041.1 Swedish Keyboard Layout kbdsw09.dll 10.0.19041.1 Sinhala - Wij 9 Keyboard Layout kbdsyr1.dll 10.0.19041.1 Syriac Standard Keyboard Layout kbdsyr2.dll 10.0.19041.1 Syriac Phoenetic Keyboard Layout kbdtaile.dll 10.0.19041.1 Tai Le Keyboard Layout kbdtajik.dll 10.0.19041.1 Tajik Keyboard Layout kbdtat.dll 10.0.19041.1 Tatar (Legacy) Keyboard Layout kbdth0.dll 10.0.19041.1 Thai Kedmanee Keyboard Layout kbdth1.dll 10.0.19041.1 Thai Pattachote Keyboard Layout kbdth2.dll 10.0.19041.1 Thai Kedmanee (non-ShiftLock) Keyboard Layout kbdth3.dll 10.0.19041.1 Thai Pattachote (non-ShiftLock) Keyboard Layout kbdtifi.dll 10.0.19041.1 Tifinagh (Basic) Keyboard Layout kbdtifi2.dll 10.0.19041.1 Tifinagh (Extended) Keyboard Layout kbdtiprc.dll 10.0.19041.1 Tibetan (PRC) Keyboard Layout kbdtiprd.dll 10.0.19041.1 Tibetan (PRC) - Updated Keyboard Layout kbdtt102.dll 10.0.19041.1 Tatar Keyboard Layout kbdtuf.dll 10.0.19041.1 Turkish F Keyboard Layout kbdtuq.dll 10.0.19041.1 Turkish Q Keyboard Layout kbdturme.dll 10.0.19041.1 Turkmen Keyboard Layout kbdtzm.dll 10.0.19041.1 Central Atlas Tamazight Keyboard Layout kbdughr.dll 10.0.19041.1 Uyghur (Legacy) Keyboard Layout kbdughr1.dll 10.0.19041.1 Uyghur Keyboard Layout kbduk.dll 10.0.19041.1 United Kingdom Keyboard Layout kbdukx.dll 10.0.19041.1 United Kingdom Extended Keyboard Layout kbdur.dll 10.0.19041.1 Ukrainian Keyboard Layout kbdur1.dll 10.0.19041.1 Ukrainian (Enhanced) Keyboard Layout kbdurdu.dll 10.0.19041.1 Urdu Keyboard Layout kbdus.dll 10.0.19041.1 United States Keyboard Layout kbdusa.dll 10.0.19041.1 US IBM Arabic 238_L Keyboard Layout kbdusl.dll 10.0.19041.1 Dvorak Left-Hand US English Keyboard Layout kbdusr.dll 10.0.19041.1 Dvorak Right-Hand US English Keyboard Layout kbdusx.dll 10.0.19041.1 US Multinational Keyboard Layout kbduzb.dll 10.0.19041.1 Uzbek_Cyrillic Keyboard Layout kbdvntc.dll 10.0.19041.1 Vietnamese Keyboard Layout kbdwol.dll 10.0.19041.1 Wolof Keyboard Layout kbdyak.dll 10.0.19041.1 Sakha - Russia Keyboard Layout kbdyba.dll 10.0.19041.1 Yoruba Keyboard Layout kbdycc.dll 10.0.19041.1 Serbian (Cyrillic) Keyboard Layout kbdycl.dll 10.0.19041.1 Serbian (Latin) Keyboard Layout kerbclientshared.dll 10.0.19041.1 Kerberos Client Shared Functionality kerberos.dll 10.0.19041.84 Kerberos 安全包 kernel.appcore.dll 10.0.19041.1 AppModel API Host kernel32.dll 10.0.19041.207 Windows NT 基本 API 客户端 DLL kernelbase.dll 10.0.19041.207 Windows NT 基本 API 客户端 DLL keycredmgr.dll 10.0.19041.1 Microsoft Key Credential Manager keyiso.dll 10.0.19041.1 CNG 密钥隔离服务 keymgr.dll 10.0.19041.1 存储的用户名和密码 ksuser.dll 10.0.19041.1 User CSA Library ktmw32.dll 10.0.19041.1 Windows KTM Win32 Client DLL l2gpstore.dll 10.0.19041.1 Policy Storage dll l2nacp.dll 10.0.19041.1 Windows Onex 凭据提供程序 l2sechc.dll 10.0.19041.1 2 层安全诊断帮助程序类 languageoverlayutil.dll 10.0.19041.1 Provides helper APIs for managing overlaid localized Windows resources. laprxy.dll 12.0.19041.1 Windows Media Logagent Proxy licensemanager.dll 10.0.19041.173 LicenseManager licensemanagerapi.dll 10.0.19041.173 "LicenseManagerApi.DYNLINK" licensingdiagspp.dll 10.0.19041.1 Licensing Diagnostics SPP Plugin licensingwinrt.dll 10.0.19041.264 LicensingWinRuntime licmgr10.dll 11.0.19041.1 Microsoft? 许可证管理器 DLL linkinfo.dll 10.0.19041.1 Windows Volume Tracking loadperf.dll 10.0.19041.1 加载与卸载性能计数器 localsec.dll 10.0.19041.1 本地用户和组 MMC 管理单元 locationapi.dll 10.0.19041.1 Microsoft Windows Location API locationframeworkinternalps.dll 10.0.19041.1 Windows Geolocation Framework Internal PS locationframeworkps.dll 10.0.19041.1 Windows Geolocation Framework PS lockscreendata.dll 10.0.19041.1 Windows Lock Screen Data DLL loghours.dll 10.0.19041.1 “计划”对话框 logoncli.dll 10.0.19041.1 Net Logon Client DLL lpk.dll 10.0.19041.264 Language Pack lsmproxy.dll 10.0.19041.1 LSM interfaces proxy Dll luainstall.dll 10.0.19041.1 Lua manifest install luiapi.dll 10.0.19041.1 LUI API lz32.dll 5.0.1.1 LZ Expand/Compress API DLL magnification.dll 10.0.19041.1 Microsoft Magnification API mapi32.dll 1.0.2536.0 适用于 Windows NT 的扩展 MAPI 1.0 mapistub.dll 1.0.2536.0 适用于 Windows NT 的扩展 MAPI 1.0 mbaeapi.dll 10.0.19041.117 移动宽带帐户体验 API mbaeapipublic.dll 10.0.19041.264 Mobile Broadband Account API mbsmsapi.dll 10.0.19041.264 Microsoft Windows Mobile Broadband SMS API mbussdapi.dll 10.0.19041.264 Microsoft Windows Mobile Broadband USSD API mccsengineshared.dll 10.0.19041.1 Utilies shared among OneSync engines mciavi32.dll 10.0.19041.1 Video For Windows MCI 驱动程序 mcicda.dll 10.0.19041.1 cdaudio 设备的 MCI 驱动程序 mciqtz32.dll 10.0.19041.1 DirectShow MCI 驱动程序 mciseq.dll 10.0.19041.1 MIDI 顺序器的 MCI 驱动程序 mciwave.dll 10.0.19041.1 波形音频的 MCI 驱动程序 mcrecvsrc.dll 10.0.19041.153 Miracast Media Foundation Source DLL mdminst.dll 10.0.19041.1 调制解调器类安装程序 mdmlocalmanagement.dll 10.0.19041.1 MDM Local Management DLL mdmregistration.dll 10.0.19041.1 MDM Registration DLL messagingdatamodel2.dll 10.0.19041.1 MessagingDataModel2 mf.dll 10.0.19041.84 媒体基础 DLL mf3216.dll 10.0.19041.264 32-bit to 16-bit Metafile Conversion DLL mfaacenc.dll 10.0.19041.1 Media Foundation AAC Encoder mfasfsrcsnk.dll 10.0.19041.84 Media Foundation ASF Source and Sink DLL mfaudiocnv.dll 10.0.19041.1 Media Foundation Audio Converter DLL mfc100.dll 10.0.40219.473 MFCDLL Shared Library - Retail Version mfc100chs.dll 10.0.40219.473 MFC Language Specific Resources mfc100cht.dll 10.0.40219.473 MFC Language Specific Resources mfc100deu.dll 10.0.40219.473 MFC Language Specific Resources mfc100enu.dll 10.0.40219.473 MFC Language Specific Resources mfc100esn.dll 10.0.40219.473 MFC Language Specific Resources mfc100fra.dll 10.0.40219.473 MFC Language Specific Resources mfc100ita.dll 10.0.40219.473 MFC Language Specific Resources mfc100jpn.dll 10.0.40219.473 MFC Language Specific Resources mfc100kor.dll 10.0.40219.473 MFC Language Specific Resources mfc100rus.dll 10.0.40219.473 MFC Language Specific Resources mfc100u.dll 10.0.40219.473 MFCDLL Shared Library - Retail Version mfc110.dll 11.0.61135.400 MFCDLL Shared Library - Retail Version mfc110chs.dll 11.0.61135.400 MFC Language Specific Resources mfc110cht.dll 11.0.61135.400 MFC Language Specific Resources mfc110deu.dll 11.0.61135.400 MFC Language Specific Resources mfc110enu.dll 11.0.61135.400 MFC Language Specific Resources mfc110esn.dll 11.0.61135.400 MFC Language Specific Resources mfc110fra.dll 11.0.61135.400 MFC Language Specific Resources mfc110ita.dll 11.0.61135.400 MFC Language Specific Resources mfc110jpn.dll 11.0.61135.400 MFC Language Specific Resources mfc110kor.dll 11.0.61135.400 MFC Language Specific Resources mfc110rus.dll 11.0.61135.400 MFC Language Specific Resources mfc110u.dll 11.0.61135.400 MFCDLL Shared Library - Retail Version mfc120.dll 12.0.40664.0 MFCDLL Shared Library - Retail Version mfc120chs.dll 12.0.40664.0 MFC Language Specific Resources mfc120cht.dll 12.0.40664.0 MFC Language Specific Resources mfc120deu.dll 12.0.40664.0 MFC Language Specific Resources mfc120enu.dll 12.0.40664.0 MFC Language Specific Resources mfc120esn.dll 12.0.40664.0 MFC Language Specific Resources mfc120fra.dll 12.0.40664.0 MFC Language Specific Resources mfc120ita.dll 12.0.40664.0 MFC Language Specific Resources mfc120jpn.dll 12.0.40664.0 MFC Language Specific Resources mfc120kor.dll 12.0.40664.0 MFC Language Specific Resources mfc120rus.dll 12.0.40664.0 MFC Language Specific Resources mfc120u.dll 12.0.40664.0 MFCDLL Shared Library - Retail Version mfc140.dll 14.20.27508.1 MFCDLL Shared Library - Retail Version mfc140chs.dll 14.20.27508.1 MFC Language Specific Resources mfc140cht.dll 14.20.27508.1 MFC Language Specific Resources mfc140deu.dll 14.20.27508.1 MFC Language Specific Resources mfc140enu.dll 14.20.27508.1 MFC Language Specific Resources mfc140esn.dll 14.20.27508.1 MFC Language Specific Resources mfc140fra.dll 14.20.27508.1 MFC Language Specific Resources mfc140ita.dll 14.20.27508.1 MFC Language Specific Resources mfc140jpn.dll 14.20.27508.1 MFC Language Specific Resources mfc140kor.dll 14.20.27508.1 MFC Language Specific Resources mfc140rus.dll 14.20.27508.1 MFC Language Specific Resources mfc140u.dll 14.20.27508.1 MFCDLL Shared Library - Retail Version mfc40.dll 4.1.0.6140 MFCDLL 共享库 - 零售版 mfc40u.dll 4.1.0.6140 MFCDLL 共享库 - 零售版 mfc42.dll 6.6.8063.0 MFCDLL 共享库 - 零售版 mfc42u.dll 6.6.8063.0 MFCDLL 共享库 - 零售版 mfcaptureengine.dll 10.0.19041.1 媒体基础 CaptureEngine DLL mfcm100.dll 10.0.40219.473 MFC Managed Library - Retail Version mfcm100u.dll 10.0.40219.473 MFC Managed Library - Retail Version mfcm110.dll 11.0.61135.400 MFC Managed Library - Retail Version mfcm110u.dll 11.0.61135.400 MFC Managed Library - Retail Version mfcm120.dll 12.0.40664.0 MFC Managed Library - Retail Version mfcm120u.dll 12.0.40664.0 MFC Managed Library - Retail Version mfcm140.dll 14.20.27508.1 MFC Managed Library - Retail Version mfcm140u.dll 14.20.27508.1 MFC Managed Library - Retail Version mfcore.dll 10.0.19041.84 Media Foundation Core DLL mfcsubs.dll 2001.12.10941.16384 COM+ mfds.dll 10.0.19041.264 Media Foundation Direct Show wrapper DLL mfdvdec.dll 10.0.19041.1 Media Foundation DV Decoder mferror.dll 10.0.19041.1 媒体基础错误 DLL mfh263enc.dll 10.0.19041.1 Media Foundation h263 Encoder mfh264enc.dll 10.0.19041.1 Media Foundation H264 Encoder mfksproxy.dll 10.0.19041.1 Dshow MF Bridge DLL DLL mfmediaengine.dll 10.0.19041.1 Media Foundation Media Engine DLL mfmjpegdec.dll 10.0.19041.1 Media Foundation MJPEG Decoder mfmkvsrcsnk.dll 10.0.19041.207 Media Foundation MKV Media Source and Sink DLL mfmp4srcsnk.dll 10.0.19041.207 媒体基础 MPEG4 源和接收 DLL mfmpeg2srcsnk.dll 10.0.19041.207 Media Foundation MPEG2 Source and Sink DLL mfnetcore.dll 10.0.19041.1 Media Foundation Net Core DLL mfnetsrc.dll 10.0.19041.1 Media Foundation Net Source DLL mfperfhelper.dll 10.0.19041.1 MFPerf DLL mfplat.dll 10.0.19041.264 媒体基础平台 DLL mfplay.dll 10.0.19041.1 Media Foundation Playback API DLL mfps.dll 10.0.19041.1 Media Foundation Proxy DLL mfreadwrite.dll 10.0.19041.153 Media Foundation ReadWrite DLL mfsensorgroup.dll 10.0.19041.1 Media Foundation Sensor Group DLL mfsrcsnk.dll 10.0.19041.264 Media Foundation Source and Sink DLL mfsvr.dll 10.0.19041.153 Media Foundation Simple Video Renderer DLL mftranscode.dll 10.0.19041.1 Media Foundation Transcode DLL mfvdsp.dll 10.0.19041.1 Windows Media Foundation Video DSP Components mfvfw.dll 10.0.19041.1 MF VFW MFT mfwmaaec.dll 10.0.19041.1 Windows Media Audio AEC for Media Foundation mgmtapi.dll 10.0.19041.1 Microsoft SNMP Manager API (uses WinSNMP) mi.dll 10.0.19041.1 Management Infrastructure mibincodec.dll 10.0.19041.1 Management Infrastructure binary codec component microsoft.bluetooth.proxy.dll 10.0.19041.1 Microsoft Bluetooth COM Proxy DLL microsoft.management.infrastructure.native.unmanaged.dll 10.0.19041.1 Microsoft.Management.Infrastructure.Native.Unmanaged.dll microsoft.uev.appagent.dll 10.0.19041.1 Microsoft.Uev.AppAgent DLL microsoft.uev.office2010customactions.dll 10.0.19041.1 Microsoft.Uev.Office2010CustomActions DLL microsoft.uev.office2013customactions.dll 10.0.19041.1 Microsoft.Uev.Office2013CustomActions DLL microsoftaccounttokenprovider.dll 10.0.19041.1 Microsoft? Account Token Provider microsoftaccountwamextension.dll 10.0.19041.264 Microsoft Account WAM Extension DLL midimap.dll 10.0.19041.1 Microsoft MIDI Mapper miguiresource.dll 10.0.19041.1 MIG wini32 资源 mimefilt.dll 2008.0.19041.1 MIME 筛选器 mimofcodec.dll 10.0.19041.1 管理基础结构 mof 编码解码器组件 minstoreevents.dll 10.0.19041.1 Minstore Event Resource miracastreceiver.dll 10.0.19041.264 Miracast 接收器 API miracastreceiverext.dll 10.0.19041.1 Miracast Receiver Extensions mirrordrvcompat.dll 10.0.19041.1 Mirror Driver Compatibility Helper mispace.dll 10.0.19041.1 Storage Management Provider for Spaces miutils.dll 10.0.19041.1 管理基础结构 mixedrealityruntime.dll 10.0.19041.1 MixedRealityRuntime DLL mlang.dll 10.0.19041.1 多语言支持 DLL mmcbase.dll 10.0.19041.1 MMC 基本 DLL mmcndmgr.dll 10.0.19041.1 MMC 节点管理器 DLL mmcshext.dll 10.0.19041.1 MMC Shell Extension DLL mmdevapi.dll 10.0.19041.1 MMDevice API mmgaclient.dll 10.0.19041.1 MMGA mmgaproxystub.dll 10.0.19041.1 MMGA mmres.dll 10.0.19041.1 常规音频资源 mobilenetworking.dll 10.0.19041.1 "MobileNetworking.DYNLINK" modemui.dll 10.0.19041.1 Windows 调制解调器属性 moricons.dll 10.0.19041.1 Windows NT Setup Icon Resources Library mp3dmod.dll 10.0.19041.1 Microsoft MP3 Decoder DMO mp43decd.dll 10.0.19041.1 Windows Media MPEG-4 Video Decoder mp4sdecd.dll 10.0.19041.1 Windows Media MPEG-4 S Video Decoder mpg4decd.dll 10.0.19041.1 Windows Media MPEG-4 Video Decoder mpr.dll 10.0.19041.1 多提供程序路由器 DLL mprapi.dll 10.0.19041.1 Windows NT MP Router Administration DLL mprddm.dll 10.0.19041.1 请求拨号管理器监护人 mprdim.dll 10.0.19041.1 动态接口管理器 mprext.dll 10.0.19041.1 多提供程序路由器扩展 DLL mprmsg.dll 10.0.19041.1 多协议路由器服务消息 DLL mrmcorer.dll 10.0.19041.264 Microsoft Windows MRM mrmdeploy.dll 10.0.19041.1 Microsoft Windows MRM Deployment mrmindexer.dll 10.0.19041.264 Microsoft Windows MRM mrt_map.dll 1.6.24911.0 Microsoft .NET Native Error Reporting Helper mrt100.dll 1.6.24911.0 Microsoft .NET Native Runtime ms3dthumbnailprovider.dll 10.0.19041.1 3D Builder msaatext.dll 2.0.10413.0 Active Accessibility text support msac3enc.dll 10.0.19041.1 Microsoft AC-3 Encoder msacm32.dll 10.0.19041.1 Microsoft ACM 音频筛选器 msadce.dll 10.0.19041.1 OLE DB Cursor Engine msadce.dll 10.0.19041.1 OLE DB Cursor Engine msadcer.dll 10.0.19041.1 OLE DB Cursor Engine Resources msadcer.dll 10.0.19041.1 OLE DB Cursor Engine Resources msadco.dll 10.0.19041.1 Remote Data Services Data Control msadco.dll 10.0.19041.1 Remote Data Services Data Control msadcor.dll 10.0.19041.1 Remote Data Services Data Control Resources msadcor.dll 10.0.19041.1 Remote Data Services Data Control Resources msadds.dll 10.0.19041.1 OLE DB Data Shape Provider msadds.dll 10.0.19041.1 OLE DB Data Shape Provider msaddsr.dll 10.0.19041.1 OLE DB Data Shape Provider Resources msaddsr.dll 10.0.19041.1 OLE DB Data Shape Provider Resources msader15.dll 10.0.19041.1 ActiveX Data Objects Resources msader15.dll 10.0.19041.1 ActiveX Data Objects Resources msado15.dll 10.0.19041.264 ActiveX Data Objects msado15.dll 10.0.19041.264 ActiveX Data Objects msadomd.dll 10.0.19041.264 ActiveX Data Objects (Multi-Dimensional) msadomd.dll 10.0.19041.264 ActiveX Data Objects (Multi-Dimensional) msador15.dll 10.0.19041.1 Microsoft ActiveX Data Objects Recordset msador15.dll 10.0.19041.1 Microsoft ActiveX Data Objects Recordset msadox.dll 10.0.19041.264 ActiveX Data Objects Extensions msadox.dll 10.0.19041.264 ActiveX Data Objects Extensions msadrh15.dll 10.0.19041.1 ActiveX Data Objects Rowset Helper msadrh15.dll 10.0.19041.1 ActiveX Data Objects Rowset Helper msafd.dll 10.0.19041.1 Microsoft Windows Sockets 2.0 Service Provider msajapi.dll 10.0.19041.1 AllJoyn API Library msalacdecoder.dll 10.0.19041.1 Media Foundation ALAC Decoder msalacencoder.dll 10.0.19041.1 Media Foundation ALAC Encoder msamrnbdecoder.dll 10.0.19041.1 AMR Narrowband Decoder DLL msamrnbencoder.dll 10.0.19041.1 AMR Narrowband Encoder DLL msamrnbsink.dll 10.0.19041.1 AMR Narrowband Sink DLL msamrnbsource.dll 10.0.19041.1 AMR Narrowband Source DLL msasn1.dll 10.0.19041.1 ASN.1 Runtime APIs msauddecmft.dll 10.0.19041.1 Media Foundation Audio Decoders msaudite.dll 10.0.19041.1 安全审核事件 DLL msauserext.dll 10.0.19041.1 MSA USER Extension DLL mscandui.dll 10.0.19041.1 MSCANDUI 服务器 DLL mscat32.dll 10.0.19041.1 MSCAT32 Forwarder DLL mscc2chs.dll 6.0.81.63 Microsoft Common Controls 2 ActiveX Control DLL msclmd.dll 10.0.19041.1 Microsoft Class Mini-driver mscmcchs.dll 6.0.81.63 Windows Common Controls ActiveX Control DLL mscms.dll 10.0.19041.264 Microsoft 颜色匹配系统 DLL mscoree.dll 10.0.19041.1 Microsoft .NET Runtime Execution Engine mscorier.dll 10.0.19041.1 Microsoft .NET Runtime IE resources mscories.dll 2.0.50727.9149 Microsoft .NET IE SECURITY REGISTRATION mscpx32r.dll 10.0.19041.1 ODBC Code Page Translator Resources mscpxl32.dll 10.0.19041.1 ODBC 代码页转换器 msctf.dll 10.0.19041.117 MSCTF 服务器 DLL msctfmonitor.dll 10.0.19041.1 MsCtfMonitor DLL msctfp.dll 10.0.19041.1 MSCTFP Server DLL msctfui.dll 10.0.19041.1 MSCTFUI 服务器 DLL msctfuimanager.dll 10.0.19041.1 Microsoft UIManager DLL msdadc.dll 10.0.19041.1 OLE DB Data Conversion Stub msdadiag.dll 10.0.19041.1 Built-In Diagnostics msdaenum.dll 10.0.19041.1 OLE DB Root Enumerator Stub msdaer.dll 10.0.19041.1 OLE DB Error Collection Stub msdaora.dll 10.0.19041.1 OLE DB Provider for Oracle msdaorar.dll 10.0.19041.1 OLE DB Provider for Oracle Resources msdaosp.dll 10.0.19041.1 OLE DB Simple Provider msdaosp.dll 10.0.19041.1 OLE DB Simple Provider msdaprsr.dll 10.0.19041.1 OLE DB 持续性服务资源 msdaprsr.dll 10.0.19041.1 OLE DB 持续性服务资源 msdaprst.dll 10.0.19041.1 OLE DB Persistence Services msdaprst.dll 10.0.19041.1 OLE DB Persistence Services msdaps.dll 10.0.19041.1 OLE DB Interface Proxies/Stubs msdaps.dll 10.0.19041.1 OLE DB Interface Proxies/Stubs msdarem.dll 10.0.19041.1 OLE DB Remote Provider msdarem.dll 10.0.19041.1 OLE DB Remote Provider msdaremr.dll 10.0.19041.1 OLE DB Remote Provider Resources msdaremr.dll 10.0.19041.1 OLE DB Remote Provider Resources msdart.dll 10.0.19041.1 OLE DB Runtime Routines msdasc.dll 10.0.19041.1 OLE DB Service Components Stub msdasql.dll 10.0.19041.1 OLE DB Provider for ODBC Drivers msdasql.dll 10.0.19041.1 OLE DB Provider for ODBC Drivers msdasqlr.dll 10.0.19041.1 OLE DB Provider for ODBC Drivers Resources msdasqlr.dll 10.0.19041.1 OLE DB Provider for ODBC Drivers Resources msdatl3.dll 10.0.19041.1 OLE DB Implementation Support Routines msdatl3.dll 10.0.19041.1 OLE DB Implementation Support Routines msdatt.dll 10.0.19041.1 OLE DB Temporary Table Services msdaurl.dll 10.0.19041.1 OLE DB RootBinder Stub msdelta.dll 5.0.1.1 Microsoft Patch Engine msdfmap.dll 10.0.19041.1 Data Factory Handler msdfmap.dll 10.0.19041.1 Data Factory Handler msdmo.dll 10.0.19041.1 DMO Runtime msdrm.dll 10.0.19041.1 Windows 权限管理客户端 msdtcprx.dll 2001.12.10941.16384 Microsoft Distributed Transaction Coordinator OLE Transactions Interface Proxy DLL msdtcspoffln.dll 2001.12.10941.16384 Microsoft Distributed Transaction Coordinator SysPrep Specialize Offline DLL msdtcuiu.dll 2001.12.10941.16384 Microsoft Distributed Transaction Coordinator Administrative DLL msdtcvsp1res.dll 2001.12.10941.16384 针对 Vista SP1 的 Microsoft 分布式事务处理协调器资源 msexch40.dll 4.0.9756.0 Microsoft Jet Exchange Isam msexcl40.dll 4.0.9801.21 Microsoft Jet Excel Isam msfeeds.dll 11.0.19041.1 Microsoft Feeds Manager msfeedsbs.dll 11.0.19041.1 Microsoft 源后台同步 msflacdecoder.dll 10.0.19041.207 Media Foundation FLAC Decoder msflacencoder.dll 10.0.19041.153 Media Foundation FLAC Encoder msftedit.dll 10.0.19041.1 RTF 编辑控件,8.5 版 msheif.dll 10.0.19041.1 HEIF DLL mshtml.dll 11.0.19041.264 Microsoft (R) HTML 查看器 mshtmldac.dll 11.0.19041.1 DAC for Trident DOM mshtmled.dll 11.0.19041.1 Microsoft? HTML Editing Component mshtmler.dll 11.0.19041.1 Microsoft? HTML 编辑组件资源 DLL msi.dll 5.0.19041.264 Windows Installer msidcrl40.dll 10.0.19041.1 Microsoft? Account Dynamic Link Library msident.dll 10.0.19041.1 Microsoft 标识管理器 msidle.dll 10.0.19041.1 User Idle Monitor msidntld.dll 10.0.19041.1 Microsoft 标识管理器 msieftp.dll 10.0.19041.1 Microsoft Internet Explorer FTP 文件夹外壳扩展 msihnd.dll 5.0.19041.1 Windows? installer msiltcfg.dll 5.0.19041.1 Windows Installer Configuration API Stub msimg32.dll 10.0.19041.264 GDIEXT Client DLL msimsg.dll 5.0.19041.264 Windows? Installer 国际化消息 msimtf.dll 10.0.19041.1 活动 IMM 服务器 DLL msisip.dll 5.0.19041.1 MSI Signature SIP Provider msiso.dll 11.0.19041.1 Isolation Library for Internet Explorer msiwer.dll 5.0.19041.1 MSI Windows Error Reporting msjet40.dll 4.0.9801.22 Microsoft Jet Engine Library msjetoledb40.dll 4.0.9801.0 msjint40.dll 4.0.9801.1 国际 Microsoft Jet 数据库引擎 DLL msjro.dll 10.0.19041.1 Jet and Replication Objects msjter40.dll 4.0.9801.0 Microsoft Jet Database Engine Error DLL msjtes40.dll 4.0.9801.0 Microsoft Jet Expression Service mskeyprotcli.dll 10.0.19041.1 Windows 客户端密钥保护提供程序 mskeyprotect.dll 10.0.19041.1 Microsoft 密钥保护提供程序 msls31.dll 3.10.349.0 Microsoft Line Services library file msltus40.dll 4.0.9801.21 Microsoft Jet Lotus 1-2-3 Isam msmpeg2adec.dll 10.0.19041.1 Microsoft DTV-DVD Audio Decoder msmpeg2enc.dll 10.0.19041.1 Microsoft MPEG-2 编码器 msmpeg2vdec.dll 10.0.19041.84 Microsoft DTV-DVD Video Decoder msobjs.dll 10.0.19041.1 系统对象审核名称 msoert2.dll 10.0.19041.1 Microsoft Windows Mail RT Lib msopusdecoder.dll 10.0.19041.1 Media Foundation Opus Decoder msorc32r.dll 10.0.19041.1 Oracle 资源的 ODBC 驱动程序 msorcl32.dll 10.0.19041.1 ODBC Driver for Oracle mspatcha.dll 5.0.1.1 Microsoft File Patch Application API mspatchc.dll 5.0.1.1 Microsoft Patch Creation Engine mspbde40.dll 4.0.9801.15 Microsoft Jet Paradox Isam msphotography.dll 10.0.19041.264 MS Photography DLL msports.dll 10.0.19041.1 端口类安全程序 msprpchs.dll 6.0.81.63 msprop32.ocx msrating.dll 10.0.19041.1 "msrating.DYNLINK" msrawimage.dll 10.0.19041.1 MS RAW Image Decoder DLL msrd2x40.dll 4.0.9801.18 Microsoft (R) Red ISAM msrd3x40.dll 4.0.9801.21 Microsoft (R) Red ISAM msrdc.dll 10.0.19041.1 Remote Differential Compression COM server msrdpwebaccess.dll 10.0.19041.1 Microsoft Remote Desktop Services Web Access Control msrepl40.dll 4.0.9801.0 Microsoft Replication Library msrle32.dll 10.0.19041.1 Microsoft RLE Compressor msscntrs.dll 7.0.19041.153 PKM Perfmon Counter DLL mssign32.dll 10.0.19041.1 Microsoft 信任签名 API mssip32.dll 10.0.19041.1 MSSIP32 Forwarder DLL mssitlb.dll 7.0.19041.153 mssitlb msspellcheckingfacility.dll 10.0.19041.1 Microsoft 拼写检查工具 mssph.dll 7.0.19041.153 Microsoft Search 协议处理程序 mssprxy.dll 7.0.19041.153 Microsoft Search Proxy mssrch.dll 7.0.19041.153 Microsoft 嵌入式搜索 msstdfmt.dll 6.0.88.4 Microsoft Standard Data Formating Object DLL msstkprp.dll 6.0.81.69 msprop32.ocx mssvp.dll 7.0.19041.153 MSSearch Vista 平台 mstask.dll 10.0.19041.1 任务计划程序接口 DLL mstext40.dll 4.0.9801.0 Microsoft Jet Text Isam mstscax.dll 10.0.19041.153 远程桌面服务 ActiveX 客户端 msutb.dll 10.0.19041.1 MSUTB 服务器 DLL msv1_0.dll 10.0.19041.1 Microsoft Authentication Package v1.0 msvbvm60.dll 6.0.98.15 Visual Basic Virtual Machine msvcirt.dll 7.0.19041.1 Windows NT IOStreams DLL msvcp_win.dll 10.0.19041.1 Microsoft? C Runtime Library msvcp100.dll 10.0.40219.473 Microsoft? C Runtime Library msvcp110.dll 11.0.61135.400 Microsoft? C Runtime Library msvcp110_win.dll 10.0.19041.1 Microsoft? STL110 C++ Runtime Library msvcp120.dll 12.0.40664.0 Microsoft? C Runtime Library msvcp120_clr0400.dll 12.0.52519.0 Microsoft? C Runtime Library msvcp140.dll 14.0.24215.1 Microsoft? C Runtime Library msvcp140_1.dll 14.20.27508.1 Microsoft? C Runtime Library _1 msvcp140_2.dll 14.20.27508.1 Microsoft? C Runtime Library _2 msvcp140_clr0400.dll 14.10.25028.0 Microsoft? C Runtime Library msvcp60.dll 7.0.19041.1 Windows NT C++ Runtime Library DLL msvcr100.dll 10.0.40219.473 Microsoft? C Runtime Library msvcr100_clr0400.dll 14.8.4084.0 Microsoft? .NET Framework msvcr110.dll 11.0.61135.400 Microsoft? C Runtime Library msvcr120.dll 12.0.40664.0 Microsoft? C Runtime Library msvcr120_clr0400.dll 12.0.52519.0 Microsoft? C Runtime Library msvcrt.dll 7.0.19041.1 Windows NT CRT DLL msvcrt20.dll 2.12.0.0 Microsoft? C Runtime Library msvcrt40.dll 10.0.19041.1 VC 4.x CRT DLL (Forwarded to msvcrt.dll) msvfw32.dll 10.0.19041.1 Microsoft Video for Windows DLL msvidc32.dll 10.0.19041.1 Microsoft Video 1 Compressor msvidctl.dll 6.5.19041.1 流视频的 ActiveX 控件 msvideodsp.dll 10.0.19041.1 Video Stabilization MFT msvp9dec.dll 10.0.19041.1 Windows VP9 Video Decoder msvproc.dll 10.0.19041.1 Media Foundation Video Processor msvpxenc.dll 10.0.19041.1 Windows VPX Video Encoder mswb7.dll 10.0.19041.1 MSWB7 DLL mswb70804.dll 10.0.19041.1 MSWB7EA DLL mswdat10.dll 4.0.9801.0 Microsoft Jet Sort Tables mswebp.dll 10.0.19041.1 WEBP DLL mswmdm.dll 12.0.19041.1 Windows Media 设备管理器内核 mswsock.dll 10.0.19041.1 Microsoft Windows Sockets 2.0 服务提供程序 mswstr10.dll 4.0.9801.1 Microsoft Jet Sort Library msxactps.dll 10.0.19041.1 OLE DB Transaction Proxies/Stubs msxactps.dll 10.0.19041.1 OLE DB Transaction Proxies/Stubs msxbde40.dll 4.0.9801.18 Microsoft Jet xBASE Isam msxml3.dll 8.110.19041.1 MSXML 3.0 msxml3r.dll 8.110.19041.1 XML Resources msxml6.dll 6.30.19041.264 MSXML 6.0 msxml6r.dll 6.30.19041.1 XML Resources msyuv.dll 10.0.19041.1 Microsoft UYVY Video Decompressor mtf.dll 10.0.19041.1 "MTF.DYNLINK" mtxclu.dll 2001.12.10941.16384 Microsoft Distributed Transaction Coordinator Failover Clustering Support DLL mtxdm.dll 2001.12.10941.16384 COM+ mtxex.dll 2001.12.10941.16384 COM+ mtxlegih.dll 2001.12.10941.16384 COM+ mtxoci.dll 2001.12.10941.16384 Microsoft Distributed Transaction Coordinator Database Support DLL for Oracle muifontsetup.dll 10.0.19041.1 MUI Callback for font registry settings mycomput.dll 10.0.19041.1 计算机管理 mydocs.dll 10.0.19041.1 我的文档文件夹 UI napcrypt.dll 10.0.19041.1 NAP Cryptographic API helper napinsp.dll 10.0.19041.1 电子邮件命名填充提供程序 naturallanguage6.dll 10.0.19041.1 Natural Language Development Platform 6 ncaapi.dll 10.0.19041.1 Microsoft Network Connectivity Assistant API ncdprop.dll 10.0.19041.1 高级网络设备属性 nci.dll 10.0.19041.1 CoInstaller: NET ncobjapi.dll 10.0.19041.1 Microsoft? Windows? Operating System ncrypt.dll 10.0.19041.1 Windows NCrypt 路由器 ncryptprov.dll 10.0.19041.1 Microsoft KSP ncryptsslp.dll 10.0.19041.1 Microsoft SChannel Provider nddeapi.dll 10.0.19041.1 Network DDE Share Management APIs ndfapi.dll 10.0.19041.1 网络诊断框架客户端 API ndfetw.dll 10.0.19041.1 Network Diagnostic Engine Event Interface ndfhcdiscovery.dll 10.0.19041.1 Network Diagnostic Framework HC Discovery API ndishc.dll 10.0.19041.1 NDIS 帮助程序类 ndproxystub.dll 10.0.19041.1 Network Diagnostic Engine Proxy/Stub negoexts.dll 10.0.19041.1 NegoExtender Security Package netapi32.dll 10.0.19041.1 Net Win32 API DLL netbios.dll 10.0.19041.1 NetBIOS Interface Library netcenter.dll 10.0.19041.1 网络中心控制面板 netcfgx.dll 10.0.19041.1 网络配置对象 netcorehc.dll 10.0.19041.1 网络核心诊断帮助程序类 netdiagfx.dll 10.0.19041.1 网络诊断框架 netdriverinstall.dll 10.0.19041.1 Network Driver Installation netevent.dll 10.0.19041.1 Net 事件处理程序 netfxperf.dll 10.0.19041.1 Extensible Performance Counter Shim neth.dll 10.0.19041.1 网络帮助消息 DLL netid.dll 10.0.19041.1 系统控制面板小程序;网络 ID 页 netiohlp.dll 10.0.19041.1 Netio 帮助程序 DLL netjoin.dll 10.0.19041.1 域加入 DLL netlogon.dll 10.0.19041.1 网络登录服务 DLL netmsg.dll 10.0.19041.1 网络消息 DLL netplwiz.dll 10.0.19041.1 映射网络驱动器/网络邻居向导 netprofm.dll 10.0.19041.117 Network List Manager netprovfw.dll 10.0.19041.1 Provisioning Service Framework DLL netprovisionsp.dll 10.0.19041.1 Provisioning Service Provider DLL netsetupapi.dll 10.0.19041.1 Network Configuration API netsetupengine.dll 10.0.19041.1 Network Configuration Engine netsetupshim.dll 10.0.19041.1 Network Configuration API netshell.dll 10.0.19041.1 网络连接外壳 netutils.dll 10.0.19041.1 Net Win32 API Helpers DLL networkcollectionagent.dll 11.0.19041.1 Network Collection Agent networkexplorer.dll 10.0.19041.1 网络浏览器 networkhelper.dll 10.0.19041.1 Network utilities for mail, contacts, calendar networkitemfactory.dll 10.0.19041.1 NetworkItem 工厂 newdev.dll 6.0.5054.0 添加硬件设备库 ngccredprov.dll 10.0.19041.1 Microsoft Passport 凭据提供程序 ngckeyenum.dll 10.0.19041.1 Microsoft Passport 密钥枚举管理器 ngcksp.dll 10.0.19041.1 Microsoft Passport Key Storage Provider ngclocal.dll 10.0.19041.1 NGC Local Account APIs ninput.dll 10.0.19041.1 Microsoft Pen and Touch Input Component nl7data0804.dll 10.0.19041.1 Microsoft Chinese Simplified Natural Language Data and Code nlaapi.dll 10.0.19041.1 Network Location Awareness 2 nlhtml.dll 2008.0.19041.1 HTML 筛选器 nlmgp.dll 10.0.19041.1 网络列表管理器管理单元 nlmproxy.dll 10.0.19041.117 Network List Manager Public Proxy nlmsprep.dll 10.0.19041.117 Network List Manager Sysprep Module nlsbres.dll 10.0.19041.1 NLSBuild 资源 DLL nlsdata0000.dll 10.0.19041.1 Microsoft Neutral Natural Language Server Data and Code nlsdl.dll 10.0.19041.1 Nls Downlevel DLL normaliz.dll 10.0.19041.1 Unicode Normalization DLL npmproxy.dll 10.0.19041.117 Network List Manager Proxy npsm.dll 10.0.19041.1 NPSM npsmdesktopprovider.dll 10.0.19041.1 NPSM 桌面本地提供程序 DLL nshhttp.dll 10.0.19041.1 HTTP netsh DLL nshipsec.dll 10.0.19041.1 Net Shell IP 安全帮助程序 DLL nshwfp.dll 10.0.19041.117 Windows 筛选平台 Netsh 帮助程序 nsi.dll 10.0.19041.1 NSI User-mode interface DLL ntasn1.dll 10.0.19041.1 Microsoft ASN.1 API ntdll.dll 10.0.19041.207 NT 层 DLL ntdsapi.dll 10.0.19041.1 Active Directory Domain Services API ntlanman.dll 10.0.19041.1 Microsoft? LAN 管理器 ntlanui2.dll 10.0.19041.1 网络对象外壳 UI ntlmshared.dll 10.0.19041.1 NTLM Shared Functionality ntmarta.dll 10.0.19041.1 Windows NT MARTA 提供程序 ntprint.dll 10.0.19041.1 后台处理程序设置 DLL ntshrui.dll 10.0.19041.1 用于共享的外壳扩展 ntvdm64.dll 10.0.19041.1 NT64 上的 16 位枚举 nvapi.dll 27.21.14.5709 NVIDIA NVAPI Library, Version 457.09 nvcuda.dll 27.21.14.5709 NVIDIA CUDA Driver, Version 457.09 nvcuvid.dll 7.17.14.5709 NVIDIA CUDA Video Decode API, Version 457.09 nvencodeapi.dll 27.21.14.5709 NVIDIA Video Encoder API, Version 11.0 nvfbc.dll 6.14.14.5709 NVIDIA Frame Buffer Capture Library, Version nvifr.dll 6.14.14.5709 NVIDIA In-band Frame Rendering Library, Version nvifropengl.dll 27.21.14.5709 NVIDIA OpenGL In-band Frame Readback Library, Version nvofapi.dll objsel.dll 10.0.19041.1 对象选取器对话框 occache.dll 11.0.19041.1 对象控件查看器 ocsetapi.dll 10.0.19041.1 Windows Optional Component Setup API odbc32.dll 10.0.19041.1 ODBC Driver Manager odbcbcp.dll 10.0.19041.1 BCP for ODBC odbcconf.dll 10.0.19041.1 ODBC Driver Configuration Program odbccp32.dll 10.0.19041.1 ODBC Installer odbccr32.dll 10.0.19041.1 ODBC Cursor Library odbccu32.dll 10.0.19041.1 ODBC Cursor Library odbcint.dll 10.0.19041.1 ODBC Resources odbcji32.dll 10.0.19041.1 Microsoft ODBC Desktop Driver Pack 3.5 odbcjt32.dll 10.0.19041.1 Microsoft ODBC Desktop Driver Pack 3.5 odbctrac.dll 10.0.19041.1 ODBC Driver Manager Trace oddbse32.dll 10.0.19041.1 ODBC (3.0) driver for DBase odexl32.dll 10.0.19041.1 ODBC (3.0) driver for Excel odfox32.dll 10.0.19041.1 ODBC (3.0) driver for FoxPro odpdx32.dll 10.0.19041.1 ODBC (3.0) driver for Paradox odtext32.dll 10.0.19041.1 ODBC (3.0) driver for text files oemlicense.dll 10.0.19041.1 Client Licensing Platform Client Provisioning offfilt.dll 2008.0.19041.1 OFFICE 筛选器 offlinelsa.dll 10.0.19041.1 Windows offlinesam.dll 10.0.19041.1 Windows offreg.dll 10.0.19041.1 Offline registry DLL ole2.dll 3.10.0.103 Windows Win16 Application Launcher ole2disp.dll 3.10.0.103 Windows Win16 Application Launcher ole2nls.dll 3.10.0.103 Windows Win16 Application Launcher ole32.dll 10.0.19041.84 用于 Windows 的 Microsoft OLE oleacc.dll 7.2.19041.1 Active Accessibility Core Component oleacchooks.dll 7.2.19041.1 Active Accessibility Event Hooks Library oleaccrc.dll 7.2.19041.1 Active Accessibility Resource DLL oleaut32.dll 10.0.19041.264 OLEAUT32.DLL olecli32.dll 10.0.19041.1 对象链接和嵌入客户端库 oledb32.dll 10.0.19041.1 OLE DB Core Services oledb32.dll 10.0.19041.1 OLE DB Core Services oledb32r.dll 10.0.19041.1 OLE DB 核心服务资源 oledb32r.dll 10.0.19041.1 OLE DB 核心服务资源 oledlg.dll 10.0.19041.1 OLE 用户界面支持 oleprn.dll 10.0.19041.1 Oleprn DLL olepro32.dll 10.0.19041.84 OLEPRO32.DLL olesvr32.dll 10.0.19041.1 Object Linking and Embedding Server Library olethk32.dll 10.0.19041.1 Microsoft OLE for Windows omadmapi.dll 10.0.19041.1 omadmapi ondemandbrokerclient.dll 10.0.19041.1 OnDemandBrokerClient ondemandconnroutehelper.dll 10.0.19041.1 On Demand Connctiond Route Helper onecorecommonproxystub.dll 10.0.19041.1 OneCore Common Proxy Stub onecoreuapcommonproxystub.dll 10.0.19041.1 OneCoreUAP Common Proxy Stub onedrivesettingsyncprovider.dll 10.0.19041.1 OneDrive Setting Sync onex.dll 10.0.19041.1 IEEE 802.1X 请求方库 onexui.dll 10.0.19041.1 IEEE 802.1X 请求 UI 库 onnxruntime.dll 1.0.1911.2111 ONNX Runtime opcservices.dll 10.0.19041.1 Native Code OPC Services Library opencl.dll 2.2.5.0 OpenCL Client DLL opengl32.dll 10.0.19041.1 OpenGL Client DLL ortcengine.dll 2018.6.1.57 Microsoft Skype ORTC Engine osbaseln.dll 10.0.19041.1 Service Reporting API osuninst.dll 10.0.19041.1 Uninstall Interface p2p.dll 10.0.19041.1 对等分组 p2pgraph.dll 10.0.19041.1 Peer-to-Peer Graphing p2pnetsh.dll 10.0.19041.1 对等 NetSh 帮助程序 packager.dll 10.0.19041.1 Object Packager2 packagestateroaming.dll 10.0.19041.1 Package State Roaming panmap.dll 10.0.19041.1 PANOSE(tm) Font Mapper pautoenr.dll 10.0.19041.1 自动注册 DLL payloadrestrictions.dll 10.0.19041.1 Payload Restrictions Mitigation Provider paymentmediatorserviceproxy.dll 10.0.19041.1 Payment Mediator Service Proxy pcacli.dll 10.0.19041.1 Program Compatibility Assistant Client Module pcaui.dll 10.0.19041.1 程序兼容性助手用户界面模块 pcpksp.dll 10.0.19041.1 平台加密提供程序的 Microsoft 平台密钥存储提供程序 pcshellcommonproxystub.dll 10.0.19041.1 PCShell Common Proxy Stub pcwum.dll 10.0.19041.1 Windows 本机 DLL 的性能计数器 pdh.dll 10.0.19041.1 Windows 性能数据助手 DLL pdhui.dll 10.0.19041.1 PDH UI peerdist.dll 10.0.19041.1 BranchCache 客户端库 peerdistsh.dll 10.0.19041.1 BranchCache Netshell 帮助程序 peopleapis.dll 10.0.19041.264 DLL for PeopleRT perceptiondevice.dll 10.0.19041.1 Perception Device perceptionsimulation.proxystubs.dll 10.0.19041.1 Windows Perception Simulation Proxy Stubs perfctrs.dll 10.0.19041.1 性能计数器 perfdisk.dll 10.0.19041.1 Windows 磁盘性能对象 DLL perfnet.dll 10.0.19041.1 Windows 网络服务性能对象 DLL perfos.dll 10.0.19041.1 Windows 系统性能对象 DLL perfproc.dll 10.0.19041.1 Windows 系统进程性能对象 DLL perfts.dll 10.0.19041.1 Windows Remote Desktop Services Performance Objects phonecallhistoryapis.dll 10.0.19041.264 DLL for PhoneCallHistoryRT phoneom.dll 10.0.19041.264 Phone Object Model phoneplatformabstraction.dll 10.0.19041.1 Phone Platform Abstraction phoneutil.dll 10.0.19041.1 Phone utilities phoneutilres.dll 10.0.19041.1 电话实用程序的资源 DLL photometadatahandler.dll 10.0.19041.1 Photo Metadata Handler photowiz.dll 10.0.19041.1 照片打印向导 pickerplatform.dll 10.0.19041.264 PickerPlatform pid.dll 10.0.19041.1 Microsoft PID pidgenx.dll 10.0.19041.1 Pid Generation pifmgr.dll 10.0.19041.1 Windows NT PIF Manager Icon Resources Library pimindexmaintenanceclient.dll 10.0.19041.1 Client dll for Pim Index Maintenance pimstore.dll 10.0.19041.1 POOM pku2u.dll 10.0.19041.1 Pku2u Security Package pla.dll 10.0.19041.1 性能日志和警报 playlistfolder.dll 10.0.19041.1 Playlist Folder playsndsrv.dll 10.0.19041.1 PlaySound 服务 playtodevice.dll 10.0.19041.1 PLAYTODEVICE DLL playtomanager.dll 10.0.19041.264 Microsoft Windows PlayTo Manager playtomenu.dll 12.0.19041.1 “播放到设备”菜单 DLL playtoreceiver.dll 10.0.19041.1 DLNA DMR DLL playtostatusprovider.dll 10.0.19041.1 PlayTo 状态提供程序 Dll pngfilt.dll 11.0.19041.1 IE PNG plugin image decoder pnrpnsp.dll 10.0.19041.1 PNRP 命名空间提供程序 policymanager.dll 10.0.19041.1 Policy Manager DLL polstore.dll 10.0.19041.1 策略存储 DLL portabledeviceapi.dll 10.0.19041.1 Windows 便携设备 API 组件 portabledeviceclassextension.dll 10.0.19041.1 Windows Portable Device Class Extension Component portabledeviceconnectapi.dll 10.0.19041.1 Portable Device Connection API Components portabledevicestatus.dll 10.0.19041.1 Microsoft Windows 便携设备状态提供程序 portabledevicesyncprovider.dll 10.0.19041.1 Microsoft Windows 便携式设备提供程序。 portabledevicetypes.dll 10.0.19041.1 Windows Portable Device (Parameter) Types Component portabledevicewiacompat.dll 10.0.19041.1 PortableDevice WIA Compatibility Driver posyncservices.dll 10.0.19041.1 Change Tracking pots.dll 10.0.19041.1 电源疑难解答 powercpl.dll 10.0.19041.1 电源选项控制面板 powrprof.dll 10.0.19041.1 电源配置文件帮助程序 DLL presentationcffrasterizernative_v0300.dll 3.0.6920.9135 WinFX OpenType/CFF Rasterizer presentationhostproxy.dll 10.0.19041.1 Windows Presentation Foundation Host Proxy presentationnative_v0300.dll 3.0.6920.9135 PresentationNative_v0300.dll prflbmsg.dll 10.0.19041.1 Perflib 事件消息 print.workflow.source.dll 10.0.19041.1 Microsoft Windows Print Workflow Source App Library printconfig.dll 0.3.19041.264 PrintConfig 用户界面 printplatformconfig.dll 10.0.19041.1 Legacy Print Platform Adapter printui.dll 10.0.19041.1 打印机设备用户接口 printworkflowproxy.dll 10.0.19041.1 Microsoft Windows Print Workflow Proxy printworkflowservice.dll 10.0.19041.1 Microsoft Windows 打印工作流服务内部 printwsdahost.dll 10.0.19041.1 PrintWSDAHost prncache.dll 10.0.19041.1 Print UI Cache prnfldr.dll 10.0.19041.1 prnfldr dll prnntfy.dll 10.0.19041.1 prnntfy DLL prntvpt.dll 10.0.19041.1 Print Ticket Services Module profapi.dll 10.0.19041.1 User Profile Basic API profext.dll 10.0.19041.153 profext propsys.dll 7.0.19041.1 Microsoft 属性系统 provcore.dll 10.0.19041.1 Microsoft 无线预配核心 provisioningcommandscsp.dll 10.0.19041.1 Provisioning package command configuration service provider provmigrate.dll 10.0.19041.1 Provisioning Migration Handler provplatformdesktop.dll 10.0.19041.1 桌面版本的预配平台 provsvc.dll 10.0.19041.1 Windows HomeGroup provthrd.dll 10.0.19041.1 WMI Provider Thread & Log Library proximitycommon.dll 10.0.19041.1 邻近感应统一实现 proximitycommonpal.dll 10.0.19041.1 Proximity Common PAL proximityrtapipal.dll 10.0.19041.1 Proximity WinRT API PAL prvdmofcomp.dll 10.0.19041.1 WMI psapi.dll 10.0.19041.1 Process Status Helper pshed.dll 10.0.19041.1 特定于平台的硬件错误驱动程序 psisdecd.dll 10.0.19041.1 Microsoft SI/PSI parser for MPEG2 based networks. psmodulediscoveryprovider.dll 10.0.19041.1 WMI pstorec.dll 10.0.19041.1 Deprecated Protected Storage COM interfaces puiapi.dll 10.0.19041.264 puiapi DLL puiobj.dll 10.0.19041.264 PrintUI 对象 DLL pwrshplugin.dll 10.0.19041.1 pwrshplugin.dll qasf.dll 12.0.19041.1 DirectShow ASF Support qcap.dll 10.0.19041.1 DirectShow 运行时。 qdv.dll 10.0.19041.1 DirectShow 运行时。 qdvd.dll 10.0.19041.1 DirectShow DVD 播放运行时。 qedit.dll 10.0.19041.1 DirectShow 编辑。 qedwipes.dll 10.0.19041.1 DirectShow Editing SMPTE Wipes quartz.dll 10.0.19041.1 DirectShow Runtime. query.dll 10.0.19041.1 Content Index Utility DLL qwave.dll 10.0.19041.1 Windows NT racengn.dll 10.0.19041.1 可靠性分析指标计算引擎 racpldlg.dll 10.0.19041.1 远程协助联系人列表 radardt.dll 10.0.19041.1 Microsoft Windows 资源消耗检测器 radarrs.dll 10.0.19041.1 Microsoft Windows 资源耗尽解决程序 radcui.dll 10.0.19041.1 RemoteApp 和桌面连接 UI 组件 rasadhlp.dll 10.0.19041.1 Remote Access AutoDial Helper rasapi32.dll 10.0.19041.1 远程访问 API raschap.dll 10.0.19041.1 远程访问 PPP CHAP raschapext.dll 10.0.19041.1 适用于 raschap 的 Windows 扩展库 rasctrs.dll 10.0.19041.1 Windows NT 远程访问性能计数器 dll rasdiag.dll 10.0.19041.1 RAS 诊断帮助程序类 rasdlg.dll 10.0.19041.264 远程访问公用对话框 API rasgcw.dll 10.0.19041.1 RAS 向导页 rasman.dll 10.0.19041.1 Remote Access Connection Manager rasmontr.dll 10.0.19041.1 RAS 监视程序 DLL rasplap.dll 10.0.19041.1 RAS PLAP 凭据提供程序 rasppp.dll 10.0.19041.1 Remote Access PPP rastapi.dll 10.0.19041.1 Remote Access TAPI Compliance Layer rastls.dll 10.0.19041.1 远程访问 PPP EAP-TLS rastlsext.dll 10.0.19041.1 适用于 rastls 的 Windows 扩展库 rdpbase.dll 10.0.19041.84 Rdp OneCore Base Services rdpcore.dll 10.0.19041.84 RDP Core DLL rdpencom.dll 10.0.19041.84 RDPSRAPI COM Objects rdpendp.dll 10.0.19041.1 RDP 音频端点 rdpsaps.dll 10.0.19041.1 RDP Session Agent Proxy Stub rdpserverbase.dll 10.0.19041.84 Rdp Server OneCore Base Services rdpsharercom.dll 10.0.19041.84 RDPSRAPI Sharer COM Objects rdpviewerax.dll 10.0.19041.84 RDPSRAPI Viewer COM Objects and ActiveX rdvgocl32.dll 10.0.19041.1 Microsoft RemoteFX OpenCL ICD rdvgogl32.dll 10.0.19041.1 Microsoft RemoteFX OpenGL rdvgu1132.dll 10.0.19041.1 Microsoft RemoteFX Virtual GPU rdvgumd32.dll 10.0.19041.1 Microsoft RemoteFX 虚拟 GPU rdvvmtransport.dll 10.0.19041.1 RdvVmTransport 终结点 regapi.dll 10.0.19041.1 Registry Configuration APIs regctrl.dll 10.0.19041.1 RegCtrl reguwpapi.dll 10.0.19041.1 UWP Registry API remoteaudioendpoint.dll 10.0.19041.1 Remote Audio Endpoint remotepg.dll 10.0.19041.1 远程会话 CPL 扩展 removedevicecontexthandler.dll 10.0.19041.1 设备与打印机删除设备上下文菜单处理程序 removedeviceelevated.dll 10.0.19041.1 RemoveDeviceElevated Proxy Dll resampledmo.dll 10.0.19041.1 Windows Media Resampler resourcepolicyclient.dll 10.0.19041.1 Resource Policy Client resutils.dll 10.0.19041.1 Microsoft 群集资源实用工具 DLL rfxvmt.dll 10.0.19041.1 Microsoft RemoteFX VM Transport rgb9rast.dll 10.0.19041.1 Microsoft? Windows? Operating System riched20.dll 5.31.23.1231 Rich Text Edit Control, v3.1 riched32.dll 10.0.19041.1 Wrapper Dll for Richedit 1.0 rmclient.dll 10.0.19041.1 Resource Manager Client rnr20.dll 10.0.19041.1 Windows Socket2 NameSpace DLL rometadata.dll 4.8.3673.0 Microsoft MetaData Library rpchttp.dll 10.0.19041.1 RPC HTTP DLL rpcns4.dll 10.0.19041.1 远程过程调用名称服务客户端 rpcnsh.dll 10.0.19041.1 RPC Netshell Helper rpcrt4.dll 10.0.19041.1 远程过程调用运行时 rpcrtremote.dll 10.0.19041.1 Remote RPC Extension rsaenh.dll 10.0.19041.1 Microsoft Enhanced Cryptographic Provider rscricon.dll 1.10.0.0 Realtek Card Reader Icon Dll rshx32.dll 10.0.19041.1 安全外壳扩展 rstrtmgr.dll 10.0.19041.1 重新启动管理器 rtffilt.dll 2008.0.19041.1 RTF 筛选器 rtm.dll 10.0.19041.1 路由表管理器 rtmcodecs.dll 2018.6.1.57 Microsoft Real Time Media Codec Library rtmediaframe.dll 10.0.19041.264 Windows Runtime MediaFrame DLL rtmmvrortc.dll 2018.6.1.57 Microsoft Real Time Media ORTC Video Renderer rtmpal.dll 2018.6.1.57 Microsoft Real Time Media Stack PAL rtmpltfm.dll 2018.6.1.57 Microsoft Real Time Media Stack rtutils.dll 10.0.19041.84 Routing Utilities rtworkq.dll 10.0.19041.1 Realtime WorkQueue DLL samcli.dll 10.0.19041.1 Security Accounts Manager Client DLL samlib.dll 10.0.19041.1 SAM Library DLL sas.dll 10.0.19041.1 WinLogon Software SAS Library sbe.dll 10.0.19041.1 DirectShow Stream Buffer Filter. sbeio.dll 12.0.19041.1 Stream Buffer IO DLL sberes.dll 10.0.19041.1 DirectShow Stream Buffer Filter Resouces. scansetting.dll 10.0.19041.1 Microsoft? Windows(TM) ScanSettings 配置文件和扫描实现 scarddlg.dll 10.0.19041.1 SCardDlg - 智能卡公用对话框 scecli.dll 10.0.19041.153 Windows 安全中心配置编辑器客户端引擎 scesrv.dll 10.0.19041.1 Windows 安全中心配置编辑器引擎 schannel.dll 10.0.19041.1 TLS/SSL 安全提供程序 schedcli.dll 10.0.19041.1 Scheduler Service Client DLL scksp.dll 10.0.19041.1 Microsoft Smart Card Key Storage Provider scp32.dll 2.0.330.0 Code Page Translation Library scripto.dll 6.6.19041.1 Microsoft ScriptO scrobj.dll 5.812.10240.16384 Windows ? Script Component Runtime scrptadm.dll 10.0.19041.1 脚本 Adm 扩展 scrrun.dll 5.812.10240.16384 Microsoft ? Script Runtime sdiageng.dll 10.0.19041.1 脚本诊断执行引擎 sdiagprv.dll 10.0.19041.1 Windows 脚本诊断提供程序 API sdohlp.dll 10.0.19041.1 NPS SDO 帮助程序组件 search.protocolhandler.mapi2.dll 7.0.19041.153 用于 MAPI2 的 Microsoft 搜索协议处理程序 searchfolder.dll 10.0.19041.1 SearchFolder sechost.dll 10.0.19041.1 Host for SCM/SDDL/LSA Lookup APIs secproc.dll 10.0.19041.1 Windows Rights Management Desktop Security Processor secproc_isv.dll 10.0.19041.1 Windows Rights Management Desktop Security Processor secproc_ssp.dll 10.0.19041.1 Windows Rights Management Services Server Security Processor secproc_ssp_isv.dll 10.0.19041.1 Windows Rights Management Services Server Security Processor (Pre-production) secur32.dll 10.0.19041.1 Security Support Provider Interface security.dll 10.0.19041.1 Security Support Provider Interface semgrps.dll 10.0.19041.1 SEMgrSvc Proxy sendmail.dll 10.0.19041.1 发送电子邮件 sensapi.dll 10.0.19041.1 SENS Connectivity API DLL sensorsapi.dll 10.0.19041.1 传感器 API sensorscpl.dll 10.0.19041.1 打开“位置和其他传感器” sensorsnativeapi.dll 10.0.19041.1 Sensors Native API sensorsnativeapi.v2.dll 10.0.19041.1 Sensors Native API (V2 stack) sensorsutilsv2.dll 10.0.19041.1 传感器 v2 实用工具 DLL serialui.dll 10.0.19041.1 串行端口属性页 serwvdrv.dll 10.0.19041.1 Unimodem Serial Wave 驱动程序 sessenv.dll 10.0.19041.1 远程桌面配置服务 settingmonitor.dll 10.0.19041.1 Setting Synchronization Change Monitor settingsync.dll 10.0.19041.1 Setting Synchronization settingsynccore.dll 10.0.19041.264 Setting Synchronization Core setupapi.dll 10.0.19041.1 Windows 安装程序 API setupcl.dll 10.0.19041.1 系统克隆库 setupcln.dll 10.0.19041.1 安装程序文件清理 sfc.dll 10.0.19041.1 Windows File Protection sfc_os.dll 10.0.19041.1 Windows File Protection sfcom.dll 3.0.0.11 SFCOM.DLL shacct.dll 10.0.19041.1 Shell Accounts Classes shacctprofile.dll 10.0.19041.1 Shell Accounts Profile Classes sharehost.dll 10.0.19041.264 ShareHost shcore.dll 10.0.19041.264 SHCORE shdocvw.dll 10.0.19041.1 Shell Doc 对象和控件库 shell32.dll 10.0.19041.1 Windows Shell 公用 DLL shellcommoncommonproxystub.dll 10.0.19041.1 ShellCommon Common Proxy Stub shellstyle.dll 10.0.19041.1 Windows Shell Style Resource Dll shfolder.dll 10.0.19041.1 Shell Folder Service shgina.dll 10.0.19041.1 Windows Shell User Logon shimeng.dll 10.0.19041.1 Shim Engine DLL shimgvw.dll 10.0.19041.1 照片库查看器 shlwapi.dll 10.0.19041.1 外壳简易实用工具库 shpafact.dll 10.0.19041.1 Windows Shell LUA/PA Elevation Factory Dll shsetup.dll 10.0.19041.1 Shell setup helper shsvcs.dll 10.0.19041.1 Windows Shell 服务 Dll shunimpl.dll 10.0.19041.1 Windows Shell Obsolete APIs shutdownext.dll 10.0.19041.1 关闭图形用户界面 shwebsvc.dll 10.0.19041.1 Windows 外壳 Web 服务器 signdrv.dll 10.0.19041.1 WMI provider for Signed Drivers simauth.dll 10.0.19041.1 EAP SIM 运行时 dll simcfg.dll 10.0.19041.1 EAP SIM config dll slc.dll 10.0.19041.1 软件授权客户端 Dll slcext.dll 10.0.19041.1 Software Licensing Client Extension Dll slwga.dll 10.0.19041.1 Software Licensing WGA API smartcardcredentialprovider.dll 10.0.19041.1 Windows 智能卡凭据提供程序 smbhelperclass.dll 1.0.0.1 网络诊断框架的 SMB (文件共享)辅助类 smphost.dll 10.0.19041.1 Storage Management Provider (SMP) host service sndvolsso.dll 10.0.19041.1 SCA 音量 snmpapi.dll 10.0.19041.1 SNMP Utility Library socialapis.dll 10.0.19041.264 DLL for SocialRT softkbd.dll 10.0.19041.1 软键盘服务器和提示 softpub.dll 10.0.19041.1 Softpub Forwarder DLL sortserver2003compat.dll 10.0.19041.1 Sort Version Server 2003 sortwindows61.dll 10.0.19041.1 SortWindows61 Dll sortwindows62.dll 10.0.19041.1 SortWindows62 Dll sortwindows6compat.dll 10.0.19041.1 Sort Version Windows 6.0 spacebridge.dll 10.0.19041.1 SpaceBridge spatializerapo.dll 10.0.19041.1 Spatializer APO spbcd.dll 10.0.19041.1 BCD Sysprep Plugin spfileq.dll 10.0.19041.1 Windows SPFILEQ spinf.dll 10.0.19041.1 Windows SPINF spnet.dll 10.0.19041.1 Net Sysprep Plugin spopk.dll 10.0.19041.1 OPK Sysprep Plugin spp.dll 10.0.19041.1 Microsoft? Windows 共享保护点库 sppc.dll 10.0.19041.1 软件授权客户端 Dll sppcext.dll 10.0.19041.1 Software Protection Platform Client Extension Dll sppcomapi.dll 10.0.19041.1 软件授权库 sppinst.dll 10.0.19041.1 SPP CMI Installer Plug-in DLL sppwmi.dll 10.0.19041.1 Software Protection Platform WMI provider spwinsat.dll 10.0.19041.1 WinSAT Sysprep Plugin spwizeng.dll 10.0.19041.1 Setup Wizard Framework spwmp.dll 12.0.19041.1 Windows Media Player System Preparation DLL sqloledb.dll 10.0.19041.1 OLE DB Provider for SQL Server sqloledb.dll 10.0.19041.1 OLE DB Provider for SQL Server sqlsrv32.dll 10.0.19041.1 SQL Server ODBC Driver sqlunirl.dll 2000.80.2039.0 String Function .DLL for SQL Enterprise Components sqlwid.dll 2000.80.2039.0 Unicode Function .DLL for SQL Enterprise Components sqlwoa.dll 2000.80.2040.0 Unicode/ANSI Function .DLL for SQL Enterprise Components sqlxmlx.dll 10.0.19041.1 XML extensions for SQL Server sqlxmlx.dll 10.0.19041.1 XML extensions for SQL Server srchadmin.dll 7.0.19041.1 索引选项 srclient.dll 10.0.19041.1 Microsoft? Windows System Restore Client Library srm.dll 10.0.19041.1 Microsoft(R) File Server Resource Manager Common Library srm_ps.dll 10.0.19041.1 Microsoft? FSRM internal proxy/stub srmclient.dll 10.0.19041.1 Microsoft? File Server Resource Management Client Extensions srmlib.dll 10.0.19041.1 Microsoft (R) File Server Resource Management Interop Assembly srmscan.dll 10.0.19041.1 Microsoft? File Server Storage Reports Scan Engine srmshell.dll 10.0.19041.1 Microsoft? 文件服务器资源管理外壳扩展 srmstormod.dll 10.0.19041.1 Microsoft? File Server Resource Management Office Parser srmtrace.dll 10.0.19041.1 Microsoft? File Server Resource Management Tracing Library srpapi.dll 10.0.19041.1 SRP API Dll srpuxnativesnapin.dll 10.0.19041.1 应用程序控制策略组策略编辑器扩展 srumapi.dll 10.0.19041.207 System Resource Usage Monitor API srumsvc.dll 10.0.19041.207 System Resource Usage Monitor Service srvcli.dll 10.0.19041.1 Server Service Client DLL sscore.dll 10.0.19041.1 服务器服务核心 DLL ssdm.dll ssdpapi.dll 10.0.19041.1 SSDP Client API DLL sspicli.dll 10.0.19041.1 Security Support Provider Interface ssshim.dll 10.0.19041.1 Windows Componentization Platform Servicing API startupscan.dll 10.0.19041.1 启动扫描任务 DLL staterepository.core.dll 10.0.19041.264 StateRepository Core stclient.dll 2001.12.10941.16384 COM+ Configuration Catalog Client stdftchs.dll 6.0.81.63 Microsoft Standard Data Formating Object DLL sti.dll 10.0.19041.264 静止图像设备客户端 DLL stobject.dll 10.0.19041.1 Systray 外壳服务对象 storage.dll 3.10.0.103 Windows Win16 Application Launcher storagecontexthandler.dll 10.0.19041.1 设备中心存储上下文菜单句柄 storagewmi.dll 10.0.19041.1 WMI Provider for Storage Management storagewmi_passthru.dll 10.0.19041.1 WMI PassThru Provider for Storage Management storprop.dll 10.0.19041.1 存储设备属性页 structuredquery.dll 7.0.19041.264 Structured Query sud.dll 10.0.19041.1 SUD 控制面板 sxproxy.dll 10.0.19041.1 Microsoft? Windows 系统保护代理库 sxs.dll 10.0.19041.1 Fusion 2.5 sxshared.dll 10.0.19041.1 Microsoft? Windows SX Shared Library sxsstore.dll 10.0.19041.1 Sxs Store DLL synccenter.dll 10.0.19041.1 Microsoft 同步中心 synccontroller.dll 10.0.19041.1 SyncController for managing sync of mail, contacts, calendar synchostps.dll 10.0.19041.1 Proxystub for sync host syncinfrastructure.dll 10.0.19041.1 Microsoft Windows 同步基础结构。 syncinfrastructureps.dll 10.0.19041.1 Microsoft Windows sync infrastructure proxy stub. syncproxy.dll 10.0.19041.1 SyncProxy for RPC communication about sync of mail, contacts, calendar syncreg.dll 2007.94.19041.1 Microsoft Synchronization Framework Registration syncres.dll 10.0.19041.1 ActiveSync 资源 syncsettings.dll 10.0.19041.264 同步设置 syncutil.dll 10.0.19041.1 Sync utilities for mail, contacts, calendar syssetup.dll 10.0.19041.1 Windows NT System Setup systemcpl.dll 10.0.19041.1 我的系统 CPL systemeventsbrokerclient.dll 10.0.19041.1 system Events Broker Client Library systemsettings.datamodel.dll 10.0.19041.264 SystemSettings.Datamodel private API systemsupportinfo.dll 10.0.19041.1 Microsoft Windows operating system. t2embed.dll 10.0.19041.264 Microsoft T2Embed Font Embedding tapi3.dll 10.0.19041.1 Microsoft TAPI3 tapi32.dll 10.0.19041.1 Microsoft? Windows(TM)电话服务 API 客户端 DLL tapimigplugin.dll 10.0.19041.1 Microsoft? Windows(TM) TAPI Migration Plugin Dll tapiperf.dll 10.0.19041.1 Microsoft? Windows(TM) Telephony Performance Monitor tapisrv.dll 10.0.19041.84 Microsoft (R) Windows(TM) 电话服务器 tapisysprep.dll 10.0.19041.1 Microsoft? Windows(TM) Telephony Sysprep Work tapiui.dll 10.0.19041.1 Microsoft (R) Windows(TM) 电话 API UI DLL taskapis.dll 10.0.19041.264 DLL for TaskRT taskcomp.dll 10.0.19041.1 任务计划程序向下兼容插件 taskschd.dll 10.0.19041.1 Task Scheduler COM API taskschdps.dll 10.0.19041.1 Task Scheduler Interfaces Proxy tbauth.dll 10.0.19041.1 TBAuth protocol handler tbs.dll 10.0.19041.1 TBS tcpipcfg.dll 10.0.19041.1 网络配置对象 tcpmib.dll 10.0.19041.1 Standard TCP/IP Port Monitor Helper DLL tcpmonui.dll 10.0.19041.1 标准 TCP/IP 端口监视器 UI DLL tdh.dll 10.0.19041.117 事件跟踪帮助程序库 tempsignedlicenseexchangetask.dll 10.0.19041.1 TempSignedLicenseExchangeTask Task termmgr.dll 10.0.19041.1 Microsoft TAPI3 Terminal Manager tetheringclient.dll 10.0.19041.1 Tethering Client textinputframework.dll 10.0.19041.1 "TextInputFramework.DYNLINK" textinputmethodformatter.dll textshaping.dll themecpl.dll 10.0.19041.1 个性化控制面板 themeui.dll 10.0.19041.1 Windows 主题 API threadpoolwinrt.dll 10.0.19041.1 Windows WinRT Threadpool thumbcache.dll 10.0.19041.1 Microsoft 缩略图缓存 tiledatarepository.dll 10.0.19041.264 Tile Data Repository timedatemuicallback.dll 10.0.19041.1 Time Date Control UI Language Change plugin tlscsp.dll 10.0.19041.1 Microsoft? Remote Desktop Services Cryptographic Utility tokenbinding.dll 10.0.19041.1 Token Binding Protocol tokenbroker.dll 10.0.19041.264 令牌代理 tokenbrokerui.dll 10.0.19041.1 Token Broker UI tpmcertresources.dll 10.0.19041.1 TpmCertResources tpmcompc.dll 10.0.19041.1 计算机选择对话框 tpmcoreprovisioning.dll 10.0.19041.1 TPM 核心预配库 tquery.dll 7.0.19041.153 Microsoft Tripoli 查询 traffic.dll 10.0.19041.1 Microsoft Traffic Control 1.0 DLL trustedsignalcredprov.dll 10.0.19041.1 TrustedSignal 凭据提供程序 tsbyuv.dll 10.0.19041.1 Toshiba Video Codec tsgqec.dll 10.0.19041.153 RD 网关 QEC tsmf.dll 10.0.19041.153 RDP MF 插件 tspkg.dll 10.0.19041.264 Web Service Security Package tsworkspace.dll 10.0.19041.1 RemoteApp 和桌面连接组件 ttdloader.dll 10.0.19041.1 Time Travel Debugging Runtime Loader ttdplm.dll 10.0.19041.1 Time Travel Debugger PLM APIs ttdrecord.dll 10.0.19041.1 Time Travel Debugging Recording Manager ttdrecordcpu.dll 10.0.19041.1 Time Travel Debugging CPU Recorder Runtime ttlsauth.dll 10.0.19041.1 EAP TTLS run-time dll ttlscfg.dll 10.0.19041.1 EAP TTLS configuration dll ttlsext.dll 10.0.19041.1 适用于 EAP TTLS 的 Windows 扩展库 tvratings.dll 10.0.19041.1 Module for managing TV ratings twext.dll 10.0.19041.1 以前版本的属性页 twinapi.appcore.dll 10.0.19041.264 twinapi.appcore twinapi.dll 10.0.19041.264 twinapi twinui.appcore.dll 10.0.19041.264 TWINUI.APPCORE twinui.dll 10.0.19041.264 TWINUI txflog.dll 2001.12.10941.16384 COM+ txfw32.dll 10.0.19041.1 TxF Win32 DLL typelib.dll 3.10.0.103 Windows Win16 Application Launcher tzautoupdate.dll 10.0.19041.1 自动时区更新程序 tzres.dll 10.0.19041.264 时区资源 DLL ucmhc.dll 10.0.19041.1 UCM 帮助程序类 ucrtbase.dll 10.0.19041.1 Microsoft? C Runtime Library ucrtbase_clr0400.dll 14.10.25028.0 Microsoft? C Runtime Library udhisapi.dll 10.0.19041.153 UPnP Device Host ISAPI Extension uexfat.dll 10.0.19041.1 eXfat Utility DLL ufat.dll 10.0.19041.1 FAT Utility DLL uiamanager.dll 10.0.19041.1 UiaManager uianimation.dll 10.0.19041.1 Windows Animation Manager uiautomationcore.dll 7.2.19041.1 Microsoft UI 自动化核心 uicom.dll 10.0.19041.1 Add/Remove Modems uimanagerbrokerps.dll 10.0.19041.1 Microsoft UIManager Broker Proxy Stub uireng.dll 10.0.19041.1 用户界面记录引擎库 uiribbon.dll 10.0.19041.1 Windows 功能区框架 ulib.dll 10.0.19041.1 文件工具支持 DLL umdmxfrm.dll 10.0.19041.1 Unimodem Tranform Module umpdc.dll unenrollhook.dll 10.0.19041.1 unenrollhook DLL unimdmat.dll 10.0.19041.1 Unimodem 服务提供程序 AT 微型驱动程序 uniplat.dll 10.0.19041.1 Unimodem AT Mini Driver Platform Driver for Windows NT unistore.dll 10.0.19041.1 统一存储 untfs.dll 10.0.19041.1 NTFS Utility DLL updatepolicy.dll 10.0.19041.1 更新策略读取器 upnp.dll 10.0.19041.1 UPnP 控件点 API upnphost.dll 10.0.19041.153 UPnP 设备主机 urefs.dll 10.0.19041.1 NTFS Utility DLL urefsv1.dll 10.0.19041.1 NTFS Utility DLL ureg.dll 10.0.19041.1 Registry Utility DLL url.dll 11.0.19041.1 Internet Shortcut Shell Extension DLL urlmon.dll 11.0.19041.117 Win32 的 OLE32 扩展 usbperf.dll 10.0.19041.1 USB 性能对象 DLL usbui.dll 10.0.19041.1 USB 用户界面 Dll user32.dll 10.0.19041.264 多用户 Windows 用户 API 客户端 DLL useraccountcontrolsettings.dll 10.0.19041.1 UserAccountControlSettings useractivitybroker.dll 10.0.19041.264 useractivitybroker usercpl.dll 10.0.19041.1 用户控制面板 userdataaccessres.dll 10.0.19041.1 UserDataAccess 堆栈的资源 DLL userdataaccountapis.dll 10.0.19041.264 DLL for UserDataAccountsRT userdatalanguageutil.dll 10.0.19041.1 Language-related helper functions for user data userdataplatformhelperutil.dll 10.0.19041.1 Platform Utilities for data access userdatatimeutil.dll 10.0.19041.1 Time-related helper functions for user data userdatatypehelperutil.dll 10.0.19041.1 Type Utilities for data access userdeviceregistration.dll 10.0.19041.264 AAD User Device Registration WinRT userdeviceregistration.ngc.dll 10.0.19041.1 AD/AAD 用户设备注册 WinRT userenv.dll 10.0.19041.1 Userenv userinitext.dll 10.0.19041.1 UserInit Utility Extension DLL userlanguageprofilecallback.dll 10.0.19041.1 MUI Callback for User Language profile changed usermgrcli.dll 10.0.19041.1 UserMgr API DLL usermgrproxy.dll 10.0.19041.1 UserMgrProxy usoapi.dll 10.0.19041.1 Update Session Orchestrator API usp10.dll 10.0.19041.1 Uniscribe Unicode script processor ustprov.dll 10.0.19041.1 User State WMI Provider utildll.dll 10.0.19041.1 WinStation 实用程序支持 DLL uudf.dll 10.0.19041.1 UDF Utility DLL uxinit.dll 10.0.19041.1 Windows User Experience Session Initialization Dll uxlib.dll 10.0.19041.1 Setup Wizard Framework uxlibres.dll 10.0.19041.1 UXLib Resources uxtheme.dll 10.0.19041.1 Microsoft UxTheme 库 van.dll 10.0.19041.1 查看可用网络 vault.dll 10.0.19041.1 Windows 保管库控制面板 vaultcli.dll 10.0.19041.264 凭据保管库客户端库 vb6chs.dll 6.0.89.88 Visual Basic Environment International Resources vbajet32.dll 6.0.1.9431 Visual Basic for Applications Development Environment - Expression Service Loader vbame.dll 2.0.2.5 VBA : Middle East Support vbscript.dll 5.812.10240.16384 Microsoft ? VBScript vcamp110.dll 11.0.61135.400 Microsoft? C++ AMP Runtime vcamp120.dll 12.0.40664.0 Microsoft? C++ AMP Runtime vcamp140.dll 14.0.24215.1 Microsoft? C++ AMP Runtime vcardparser.dll 10.0.19041.1 Supports the parsing of VCard and ICal formatted data vccorlib110.dll 11.0.61135.400 Microsoft ? VC WinRT core library vccorlib120.dll 12.0.40664.0 Microsoft ? VC WinRT core library vccorlib140.dll 14.0.24215.1 Microsoft ? VC WinRT core library vcomp100.dll 10.0.40219.473 Microsoft? C/C++ OpenMP Runtime vcomp110.dll 11.0.61135.400 Microsoft? C/C++ OpenMP Runtime vcomp120.dll 12.0.40664.0 Microsoft? C/C++ OpenMP Runtime vcomp140.dll 14.0.24215.1 Microsoft? C/C++ OpenMP Runtime vcruntime140.dll 14.0.24215.1 Microsoft? C Runtime Library vcruntime140_clr0400.dll 14.10.25028.0 Microsoft? C Runtime Library vdmdbg.dll 10.0.19041.1 VDMDBG.DLL vds_ps.dll 10.0.19041.1 Microsoft? Virtual Disk Service proxy/stub verifier.dll 10.0.19041.1 Standard application verifier provider dll version.dll 10.0.19041.1 Version Checking and File Installation Libraries vfwwdm32.dll 10.0.19041.1 WDM 视频捕获设备的 VfW MM 驱动程序 vidreszr.dll 10.0.19041.1 Windows Media Resizer virtdisk.dll 10.0.19041.1 Virtual Disk API DLL voiceactivationmanager.dll 10.0.19041.1 Windows Voice Activation Manager voiprt.dll 10.0.19041.264 Voip Runtime vpnikeapi.dll 10.0.19041.1 VPN IKE API's vscmgrps.dll 10.0.19041.1 Microsoft Virtual Smart Card Manager Proxy/Stub vss_ps.dll 10.0.19041.1 Microsoft? Volume Shadow Copy Service proxy/stub vssapi.dll 10.0.19041.1 Microsoft? Volume Shadow Copy Requestor/Writer Services API DLL vsstrace.dll 10.0.19041.1 Microsoft? 卷影复制服务跟踪库 vulkan-1.dll 1.2.141.0 Vulkan Loader vulkan-1-999-0-0-0.dll 1.2.141.0 Vulkan Loader w32topl.dll 10.0.19041.1 Windows NT Topology Maintenance Tool wabsyncprovider.dll 10.0.19041.1 Microsoft Windows Contacts 同步提供程序 walletbackgroundserviceproxy.dll 10.0.19041.1 Wallet Background Proxy walletproxy.dll 10.0.19041.1 Wallet proxy wavemsp.dll 10.0.19041.1 Microsoft Wave MSP wbemcomn.dll 10.0.19041.1 WMI wcmapi.dll 10.0.19041.1 Windows Connection Manager Client API wcnapi.dll 10.0.19041.1 Windows Connect Now - API Helper DLL wcnwiz.dll 10.0.19041.1 Windows 立即连接向导 wdc.dll 10.0.19041.1 性能监视器 wdi.dll 10.0.19041.1 Windows 诊断基础结构 wdigest.dll 10.0.19041.1 Microsoft Digest Access wdscore.dll 10.0.19041.1 Panther Engine Module webauthn.dll 10.0.19041.1 Web 身份验证 webcamui.dll 10.0.19041.1 Microsoft? Windows? Operating System webcheck.dll 11.0.19041.1 网站监视程序 webclnt.dll 10.0.19041.1 Web DAV 服务 DLL webio.dll 10.0.19041.1 Web 传输协议 API webplatstorageserver.dll 10.0.19041.264 "webplatstorageserver.DYNLINK" webservices.dll 10.0.19041.1 Windows Web 服务运行时 websocket.dll 10.0.19041.84 Web Socket API wecapi.dll 10.0.19041.1 Event Collector Configuration API wer.dll 10.0.19041.264 Windows 错误报告 DLL werdiagcontroller.dll 10.0.19041.264 WER Diagnostic Controller werenc.dll 10.0.19041.84 Windows Error Reporting Dump Encoding Library weretw.dll 10.0.19041.264 WERETW.DLL werui.dll 10.0.19041.264 Windows 错误报告 UI DLL wevtapi.dll 10.0.19041.1 事件消耗和配置 API wevtfwd.dll 10.0.19041.1 WS-Management 事件转发插件 wfapigp.dll 10.0.19041.1 Windows Defender Firewall GPO Helper dll wfdprov.dll 10.0.19041.1 Private WPS provisioning API DLL for Wi-Fi Direct wfhc.dll 10.0.19041.1 Windows Defender 防火墙帮助程序类 whhelper.dll 10.0.19041.1 winHttp 的网络 shell 帮助程序 DLL wiaaut.dll 10.0.19041.264 WIA 自动化层 wiadefui.dll 10.0.19041.1 WIA 扫描仪默认 UI wiadss.dll 10.0.19041.264 WIA TWAIN 兼容性层 wiascanprofiles.dll 10.0.19041.1 Microsoft Windows ScanProfiles wiashext.dll 10.0.19041.1 图像设备外壳文件夹 UI wiatrace.dll 10.0.19041.21 WIA Tracing wifidisplay.dll 10.0.19041.1 WLAN 显示 DLL wimgapi.dll 10.0.19041.84 Windows 映像库 win32u.dll 10.0.19041.264 Win32u winbio.dll 10.0.19041.1 Windows 生物识别客户端 API winbioext.dll 10.0.19041.1 Windows Biometrics Client Extension API winbrand.dll 10.0.19041.1 Windows Branding Resources wincorlib.dll 10.0.19041.1 Microsoft Windows ? WinRT core library wincredprovider.dll 10.0.19041.1 wincredprovider DLL wincredui.dll 10.0.19041.1 凭据管理器用户内部界面 windowmanagementapi.dll windows.accountscontrol.dll 10.0.19041.264 Windows Accounts Control windows.ai.machinelearning.dll 1.0.1911.2111 Windows Machine Learning Runtime windows.ai.machinelearning.preview.dll 10.0.19041.264 WinRT Windows Machine Learning Preview DLL windows.applicationmodel.background.systemeventsbroker.dll 10.0.19041.264 Windows Background System Events Broker API Server windows.applicationmodel.background.timebroker.dll 10.0.19041.1 Windows Background Time Broker API Server windows.applicationmodel.conversationalagent.dll 10.0.19041.264 Windows Voice Agent Services DLL windows.applicationmodel.conversationalagent.internal.proxystub.dll windows.applicationmodel.conversationalagent.proxystub.dll windows.applicationmodel.core.dll 10.0.19041.264 Windows Application Model Core API windows.applicationmodel.datatransfer.dll 10.0.19041.264 Windows.ApplicationModel.DataTransfer windows.applicationmodel.dll 10.0.19041.264 Windows ApplicationModel API Server windows.applicationmodel.lockscreen.dll 10.0.19041.264 Windows Lock Application Framework DLL windows.applicationmodel.store.dll 10.0.19041.264 Microsoft Store 运行时 DLL windows.applicationmodel.store.preview.dosettings.dll 10.0.19041.1 Delivery Optimization Settings windows.applicationmodel.store.testingframework.dll 10.0.19041.264 Microsoft Store 测试框架运行时 DLL windows.applicationmodel.wallet.dll 10.0.19041.264 Windows ApplicationModel Wallet Runtime DLL windows.devices.alljoyn.dll 10.0.19041.264 Windows.Devices.AllJoyn DLL windows.devices.background.dll 10.0.19041.1 Windows.Devices.Background windows.devices.background.ps.dll 10.0.19041.1 Windows.Devices.Background Interface Proxy windows.devices.bluetooth.dll 10.0.19041.264 Windows.Devices.Bluetooth DLL windows.devices.custom.dll 10.0.19041.1 Windows.Devices.Custom windows.devices.custom.ps.dll 10.0.19041.1 Windows.Devices.Custom Interface Proxy windows.devices.enumeration.dll 10.0.19041.1 Windows.Devices.Enumeration windows.devices.haptics.dll 10.0.19041.264 Windows Runtime Haptics DLL windows.devices.humaninterfacedevice.dll 10.0.19041.264 Windows.Devices.HumanInterfaceDevice DLL windows.devices.lights.dll 10.0.19041.264 Windows Runtime Lights DLL windows.devices.lowlevel.dll 10.0.19041.264 Windows.Devices.LowLevel DLL windows.devices.midi.dll 10.0.19041.264 Windows Runtime MIDI Device server DLL windows.devices.perception.dll 10.0.19041.264 Windows Devices Perception API windows.devices.picker.dll 10.0.19041.264 设备选取器 windows.devices.pointofservice.dll 10.0.19041.264 Windows 运行时 PointOfService DLL windows.devices.portable.dll 10.0.19041.1 Windows Runtime Portable Devices DLL windows.devices.printers.dll 10.0.19041.264 Windows Runtime Devices Printers DLL windows.devices.printers.extensions.dll 10.0.19041.1 Windows.Devices.Printers.Extensions windows.devices.radios.dll 10.0.19041.264 Windows.Devices.Radios DLL windows.devices.scanners.dll 10.0.19041.264 Windows 运行时设备扫描仪 DLL windows.devices.sensors.dll 10.0.19041.264 Windows Runtime Sensors DLL windows.devices.serialcommunication.dll 10.0.19041.264 Windows.Devices.SerialCommunication DLL windows.devices.smartcards.dll 10.0.19041.264 Windows 运行时智能卡 API DLL windows.devices.smartcards.phone.dll 10.0.19041.264 Windows Runtime Phone Smart Card Api DLL windows.devices.usb.dll 10.0.19041.264 Windows Runtime Usb DLL windows.devices.wifi.dll 10.0.19041.264 Windows.Devices.WiFi DLL windows.devices.wifidirect.dll 10.0.19041.264 Windows.Devices.WiFiDirect DLL windows.energy.dll 10.0.19041.264 Windows Energy Runtime DLL windows.fileexplorer.common.dll 10.0.19041.1 Windows.FileExplorer.Common windows.gaming.input.dll 10.0.19041.264 Windows Gaming Input API windows.gaming.preview.dll 10.0.19041.264 Windows Gaming API Preview windows.gaming.ui.gamebar.dll 10.0.19041.1 Windows Gaming UI API GameBar windows.gaming.xboxlive.storage.dll 10.0.19041.264 Xbox Connected Storage WinRT implementation windows.globalization.dll 10.0.19041.264 Windows Globalization windows.globalization.fontgroups.dll 10.0.19041.1 Fonts Mapping API windows.globalization.phonenumberformatting.dll 10.0.19041.1 Windows Libphonenumber OSS component windows.graphics.display.brightnessoverride.dll 10.0.19041.264 Windows Runtime Brightness Override DLL windows.graphics.display.displayenhancementoverride.dll 10.0.19041.1 Windows Runtime Display Enhancement Override DLL windows.graphics.dll 10.0.19041.264 WinRT Windows Graphics DLL windows.graphics.printing.3d.dll 10.0.19041.264 Microsoft Windows Printing Support windows.graphics.printing.dll 10.0.19041.264 Microsoft Windows 打印支持 windows.graphics.printing.workflow.dll 10.0.19041.264 Microsoft Windows Print Workflow windows.graphics.printing.workflow.native.dll 10.0.19041.1 Microsoft Windows Print Workflow Native windows.internal.bluetooth.dll 10.0.19041.1 Windows.Internal.Bluetooth DLL windows.internal.devices.sensors.dll 10.0.19041.264 Windows Runtime Sensors (Internal) DLL windows.internal.graphics.display.displaycolormanagement.dll 10.0.19041.264 Windows Runtime Display Color Management DLL windows.internal.graphics.display.displayenhancementmanagement.dll 10.0.19041.264 Windows Runtime Display Enhancement Management DLL windows.internal.management.dll 10.0.19041.264 Windows Managent Service DLL windows.internal.securitymitigationsbroker.dll 10.0.19041.1 Windows 安全中心缓解代理 DLL windows.internal.shellcommon.accountscontrolexperience.dll 10.0.19041.1 Shell Position default shell contract handler windows.internal.shellcommon.printexperience.dll 10.0.19041.1 Print Experience default shell contract handler windows.internal.shellcommon.tokenbrokermodal.dll 10.0.19041.1 Token broker default shell contract handler windows.internal.ui.logon.proxystub.dll 10.0.19041.1 Logon User Experience Proxy Stub windows.management.workplace.dll 10.0.19041.264 Windows Runtime MdmPolicy DLL windows.management.workplace.workplacesettings.dll 10.0.19041.1 Windows Runtime WorkplaceSettings DLL windows.media.audio.dll 10.0.19041.264 Windows Runtime Window Media Audio server DLL windows.media.backgroundmediaplayback.dll 10.0.19041.1 Windows Media BackgroundMediaPlayback DLL windows.media.devices.dll 10.0.19041.264 Windows Runtime media device server DLL windows.media.dll 10.0.19041.264 Windows Media Runtime DLL windows.media.editing.dll 10.0.19041.264 Windows Media Editing DLL windows.media.faceanalysis.dll 10.0.19041.264 Microsoft (R) Face Detection DLL windows.media.import.dll 10.0.19041.1 Windows Photo Import API (WinRT/COM) windows.media.mediacontrol.dll 10.0.19041.264 Windows 运行时 MediaControl 服务器 DLL windows.media.mixedrealitycapture.dll 10.0.19041.1 "Windows.Media.MixedRealityCapture.DYNLINK" windows.media.ocr.dll 10.0.19041.264 Windows OCR Runtime DLL windows.media.playback.backgroundmediaplayer.dll 10.0.19041.1 Windows Media Playback BackgroundMediaPlayer DLL windows.media.playback.mediaplayer.dll 10.0.19041.1 Windows Media Playback MediaPlayer DLL windows.media.playback.proxystub.dll 10.0.19041.1 BackgroundMediaPlayer Proxy Stub DLL windows.media.speech.dll 10.0.19041.264 Windows Speech Runtime DLL windows.media.streaming.dll 10.0.19041.264 DLNA DLL windows.media.streaming.ps.dll 10.0.19041.1 DLNA Proxy-Stub DLL windows.mirage.dll 10.0.19041.1 Windows Perception API windows.mirage.internal.dll 10.0.19041.1 "Windows.Mirage.Internal.DYNLINK" windows.networking.backgroundtransfer.backgroundmanagerpolicy.dll 10.0.19041.1 Background Transfer Background Manager Policy DLL windows.networking.backgroundtransfer.dll 10.0.19041.264 Windows.Networking.BackgroundTransfer DLL windows.networking.connectivity.dll 10.0.19041.264 Windows Networking Connectivity Runtime DLL windows.networking.dll 10.0.19041.264 Windows.Networking DLL windows.networking.hostname.dll 10.0.19041.1 Windows.Networking.HostName DLL windows.networking.networkoperators.esim.dll 10.0.19041.264 ESIM API windows.networking.networkoperators.hotspotauthentication.dll 10.0.19041.1 Microsoft Windows Hotspot Authentication API windows.networking.proximity.dll 10.0.19041.1 Windows Runtime Proximity API DLL windows.networking.servicediscovery.dnssd.dll 10.0.19041.264 Windows.Networking.ServiceDiscovery.Dnssd DLL windows.networking.sockets.pushenabledapplication.dll 10.0.19041.1 Windows.Networking.Sockets.PushEnabledApplication DLL windows.networking.vpn.dll 10.0.19041.264 Windows.Networking.Vpn DLL windows.networking.xboxlive.proxystub.dll 10.0.19041.1 Windows.Networking.XboxLive Proxy Stub Dll windows.payments.dll 10.0.19041.264 Payment Windows Runtime DLL windows.perception.stub.dll 10.0.19041.264 Windows Perception Api 存根区域 windows.security.authentication.identity.provider.dll 10.0.19041.264 Secondary Factor Authentication Windows Runtime DLL windows.security.authentication.onlineid.dll 10.0.19041.264 Windows Runtime OnlineId Authentication DLL windows.security.authentication.web.core.dll 10.0.19041.264 令牌代理 WinRT API windows.security.credentials.ui.credentialpicker.dll 10.0.19041.1 WinRT Credential Picker Server windows.security.credentials.ui.userconsentverifier.dll 10.0.19041.264 Windows 用户同意验证程序 API windows.security.integrity.dll 10.0.19041.1 Windows Lockdown API Server windows.services.targetedcontent.dll 10.0.19041.264 Windows.Services.TargetedContent windows.shell.servicehostbuilder.dll 10.0.19041.1 Windows.Shell.ServiceHostBuilder windows.staterepository.dll 10.0.19041.264 Windows StateRepository API 服务器 windows.staterepositorybroker.dll 10.0.19041.264 Windows StateRepository API Broker windows.staterepositoryclient.dll 10.0.19041.264 Windows StateRepository Client API windows.staterepositorycore.dll 10.0.19041.264 Windows StateRepository API Core windows.staterepositoryps.dll 10.0.19041.264 Windows StateRepository Proxy/Stub Server windows.staterepositoryupgrade.dll 10.0.19041.264 Windows StateRepository Upgrade windows.storage.applicationdata.dll 10.0.19041.264 Windows Application Data API Server windows.storage.compression.dll 5.0.1.1 WinRT Compression windows.storage.dll 10.0.19041.264 Microsoft WinRT Storage API windows.storage.onecore.dll 10.0.19041.1 Microsoft Windows.Storage OneCore API windows.storage.search.dll 10.0.19041.1 Windows.Storage.Search windows.system.diagnostics.dll 10.0.19041.264 Windows System Diagnostics DLL windows.system.diagnostics.telemetry.platformtelemetryclient.dll 10.0.19041.1 Platform Telemetry Client DLL windows.system.diagnostics.tracereporting.platformdiagnosticactions.dll 10.0.19041.1 Platform Diagnostic Actions DLL windows.system.launcher.dll 10.0.19041.264 Windows.System.Launcher windows.system.profile.hardwareid.dll 10.0.19041.1 Windows 系统配置文件 HardwareId DLL windows.system.profile.platformdiagnosticsandusagedatasettings.dll 10.0.19041.1 Platform Diagnostics and Usage Settings DLL windows.system.profile.systemid.dll 10.0.19041.1 Windows System Profile SystemId DLL windows.system.profile.systemmanufacturers.dll 10.0.19041.1 Windows.System.Profile.SystemManufacturers windows.system.remotedesktop.dll 10.0.19041.1 Windows System RemoteDesktop Runtime DLL windows.system.systemmanagement.dll 10.0.19041.264 Windows Runtime SystemManagement DLL windows.system.userdeviceassociation.dll 10.0.19041.1 Windows System User Device Association API windows.system.userprofile.diagnosticssettings.dll 10.0.19041.1 Diagnostics Settings DLL windows.ui.accessibility.dll 10.0.19041.1 Windows.UI.Accessibility System DLL windows.ui.core.textinput.dll 10.0.19041.264 Windows.UI.Core.TextInput dll windows.ui.cred.dll 10.0.19041.1 Credential Prompt User Experience windows.ui.creddialogcontroller.dll 10.0.19041.264 凭据 UX 对话框控制器 windows.ui.dll 10.0.19041.264 Windows Runtime UI Foundation DLL windows.ui.fileexplorer.dll 10.0.19041.1 Windows.UI.FileExplorer windows.ui.immersive.dll 10.0.19041.264 WINDOWS.UI.IMMERSIVE windows.ui.input.inking.analysis.dll 1.0.1907.3002 windows.ui.input.inking.dll 10.0.19041.1 WinRT Windows Inking DLL windows.ui.search.dll 10.0.19041.1 Windows.UI.Search windows.ui.xaml.controls.dll 10.0.19041.1 Windows.UI.Xaml.Controls windows.ui.xaml.dll 10.0.19041.84 Windows.UI.Xaml dll windows.ui.xaml.inkcontrols.dll 10.0.19041.1 Windows UI XAML InkControls API windows.ui.xaml.maps.dll 10.0.19041.264 Windows UI XAML 地图 API windows.ui.xaml.phone.dll 10.0.19041.1 Windows UI XAML Phone API windows.ui.xamlhost.dll 10.0.19041.1 XAML Host windows.web.diagnostics.dll 10.0.19041.1 Windows.Web.Diagnostics windows.web.dll 10.0.19041.264 Web 客户端 DLL windows.web.http.dll 10.0.19041.264 Windows.Web.Http DLL windowscodecs.dll 10.0.19041.207 Microsoft Windows Codecs Library windowscodecsext.dll 10.0.19041.1 Microsoft Windows Codecs Extended Library windowscodecsraw.dll 10.0.19041.1 Microsoft Camera Codec Pack windowsdefaultheatprocessor.dll windowslivelogin.dll 10.0.19041.1 Microsoft? Account Login Helper windowsperformancerecordercontrol.dll 10.0.19041.207 Microsoft Windows Performance Recorder Control Library winfax.dll 10.0.19041.1 Microsoft Fax API Support DLL winhttp.dll 10.0.19041.264 Windows HTTP 服务 winhttpcom.dll 10.0.19041.1 Windows COM interface for WinHttp wininet.dll 11.0.19041.117 Win32 的 Internet 扩展 wininetlui.dll 10.0.19041.1 提供 wininet 的旧版 UI wininitext.dll 10.0.19041.1 WinInit Utility Extension DLL winipcfile.dll 10.0.19041.1 Microsoft Active Directory Rights Management Services File API winipcsecproc.dll 10.0.19041.1 Microsoft Active Directory Rights Management Services Desktop Security Processor winipsec.dll 10.0.19041.1 Windows IPsec SPD Client DLL winlangdb.dll 10.0.19041.1 Windows Bcp47 语言数据库 winml.dll 10.0.19041.1 Windows Machine Learning Runtime winmm.dll 10.0.19041.1 MCI API DLL winmmbase.dll 10.0.19041.1 基本多媒体扩展 API DLL winmsipc.dll 10.0.19041.1 Microsoft Active Directory Rights Management Services 客户端 winmsoirmprotector.dll 10.0.19041.1 Windows Office file format IRM Protector winnlsres.dll 10.0.19041.1 NLSBuild 资源 DLL winnsi.dll 10.0.19041.1 Network Store Information RPC interface winopcirmprotector.dll 10.0.19041.1 Windows Office file format IRM Protector winrnr.dll 10.0.19041.1 LDAP RnR Provider DLL winrscmd.dll 10.0.19041.1 remtsvc winrsmgr.dll 10.0.19041.1 WSMan Shell API winrssrv.dll 10.0.19041.1 winrssrv winrttracing.dll 10.0.19041.1 Windows Diagnostics Tracing winsatapi.dll 10.0.19041.207 Windows 系统评估工具 API winscard.dll 10.0.19041.1 Microsoft 智能卡 API winsku.dll 10.0.19041.1 Windows SKU Library winsockhc.dll 10.0.19041.1 Winsock 网络诊断帮助程序类 winsqlite3.dll 3.29.0.0 SQLite is a software library that implements a self-contained, serverless, zero-configuration, transactional SQL database engine. winsrpc.dll 10.0.19041.1 WINS RPC LIBRARY winsta.dll 10.0.19041.1 Winstation Library winsync.dll 2007.94.19041.1 Synchronization Framework winsyncmetastore.dll 2007.94.19041.1 Windows Synchronization Metadata Store winsyncproviders.dll 2007.94.19041.1 Windows Synchronization Provider Framework wintrust.dll 10.0.19041.1 Microsoft Trust Verification APIs wintypes.dll 10.0.19041.264 Windows 基本类型 DLL winusb.dll 10.0.19041.1 Windows USB Driver User Library wisp.dll 10.0.19041.1 Microsoft Pen and Touch Input Component wkscli.dll 10.0.19041.1 Workstation Service Client DLL wkspbrokerax.dll 10.0.19041.1 Microsoft Workspace Broker ActiveX Control wksprtps.dll 10.0.19041.1 WorkspaceRuntime ProxyStub DLL wlanapi.dll 10.0.19041.1 Windows WLAN 自动配置客户端 API DLL wlancfg.dll 10.0.19041.1 Wlan Netsh 帮助程序 DLL wlanconn.dll 10.0.19041.1 Dot11 连接流 wlandlg.dll 10.0.19041.1 无线局域网对话向导 wlangpui.dll 10.0.19041.1 无线网络策略管理管理单元 wlanhlp.dll 10.0.19041.1 Windows Wireless LAN 802.11 Client Side Helper API wlanmm.dll 10.0.19041.1 Dot11 媒体和临时管理器 wlanpref.dll 10.0.19041.1 无线首选网络 wlanui.dll 10.0.19041.1 无线配置文件 UI wlanutil.dll 10.0.19041.1 Windows 无线局域网 802.11 实用工具 DLL wldap32.dll 10.0.19041.1 Win32 LDAP API DLL wldp.dll 10.0.19041.1 Windows 锁定策略 wlgpclnt.dll 10.0.19041.1 802.11 组策略客户端 wlidcli.dll 10.0.19041.1 Microsoft? 帐户动态链接库 wlidcredprov.dll 10.0.19041.1 Microsoft? Account Credential Provider wlidfdp.dll 10.0.19041.1 Microsoft? Account Function Discovery Provider wlidnsp.dll 10.0.19041.1 Microsoft? Account Namespace Provider wlidprov.dll 10.0.19041.264 Microsoft? Account Provider wlidres.dll 10.0.19041.1 Microsoft? Windows Live ID 资源 wmadmod.dll 10.0.19041.1 Windows Media Audio Decoder wmadmoe.dll 10.0.19041.1 Windows Media Audio 10 Encoder/Transcoder wmasf.dll 12.0.19041.1 Windows Media ASF DLL wmcodecdspps.dll 10.0.19041.1 Windows Media CodecDSP Proxy Stub Dll wmdmlog.dll 12.0.19041.1 Windows Media Device Manager Logger wmdmps.dll 12.0.19041.1 Windows Media Device Manager Proxy Stub wmdrmsdk.dll 10.0.19041.1 WMDRM backwards compatibility stub wmerror.dll 12.0.19041.1 Windows Media 错误定义(英语) wmi.dll 10.0.19041.1 WMI DC and DP functionality wmiclnt.dll 10.0.19041.1 WMI Client API wmidcom.dll 10.0.19041.1 WMI wmidx.dll 12.0.19041.1 Windows Media Indexer DLL wmiprop.dll 10.0.19041.1 WDM 提供程序动态属性页面 CoInstaller wmitomi.dll 10.0.19041.1 CIM 提供程序适配器 wmnetmgr.dll 12.0.19041.1 Windows Media Network Plugin Manager DLL wmp.dll 12.0.19041.153 Windows Media Player wmpdxm.dll 12.0.19041.1 Windows Media Player Extension wmpeffects.dll 12.0.19041.1 Windows Media Player Effects wmphoto.dll 10.0.19041.1 Windows Media 照片编解码器 wmploc.dll 12.0.19041.1 Windows Media Player 资源 wmpps.dll 12.0.19041.1 Windows Media Player Proxy Stub Dll wmpshell.dll 12.0.19041.1 Windows Media Player 启动程序 wmsgapi.dll 10.0.19041.1 WinLogon IPC Client wmspdmod.dll 10.0.19041.1 Windows Media Audio Voice Decoder wmspdmoe.dll 10.0.19041.1 Windows Media Audio Voice Encoder wmvcore.dll 12.0.19041.1 Windows Media Playback/Authoring DLL wmvdecod.dll 10.0.19041.1 Windows Media 视频解码器 wmvdspa.dll 10.0.19041.1 Windows Media Video DSP Components - Advanced wmvencod.dll 10.0.19041.1 Windows Media 视频 9 编码器 wmvsdecd.dll 10.0.19041.1 Windows Media Screen Decoder wmvsencd.dll 10.0.19041.1 Windows Media Screen Encoder wmvxencd.dll 10.0.19041.1 Windows Media Video Encoder wofutil.dll 10.0.19041.1 Windows Overlay File System Filter user mode API wordbreakers.dll 10.0.19041.1 "WordBreakers.DYNLINK" workfoldersres.dll 6.2.9200.16384 工作文件夹资源 wow32.dll 10.0.19041.1 Wow32 wpbcreds.dll 10.0.19041.1 WP 8.1 upgrade support utility wpdshext.dll 10.0.19041.1 便携设备 Shell 扩展 wpdshserviceobj.dll 10.0.19041.1 Windows Portable Device Shell Service Object wpdsp.dll 10.0.19041.1 WMDM Service Provider for Windows Portable Devices wpnapps.dll 10.0.19041.264 Windows 推送通知应用 wpnclient.dll 10.0.19041.1 Windows Push Notifications Client wpportinglibrary.dll 10.0.19041.1 DLL ws2_32.dll 10.0.19041.1 Windows Socket 2.0 32 位 DLL ws2help.dll 10.0.19041.1 Windows Socket 2.0 Helper for Windows NT wsclient.dll 10.0.19041.1 Microsoft Store Licensing Client wsdapi.dll 10.0.19041.1 设备 API DLL 的 Web 服务 wsdchngr.dll 10.0.19041.1 WSD Challenge Component wsecedit.dll 10.0.19041.153 安全配置 UI 模块 wshbth.dll 10.0.19041.1 Windows Sockets Helper DLL wshcon.dll 5.812.10240.16384 Microsoft ? Windows Script Controller wshelper.dll 10.0.19041.1 Winsock 的 Winsock Net 外壳帮助程序 DLL wshext.dll 5.812.10240.16384 Microsoft ? Shell Extension for Windows Script Host wshhyperv.dll 10.0.19041.1 Hyper-V Winsock2 Helper DLL wship6.dll 10.0.19041.1 Winsock2 帮助程序 DLL (TL/IPv6) wshqos.dll 10.0.19041.1 QoS Winsock2 帮助程序 DLL wshrm.dll 10.0.19041.1 用于 PGM 的 Windows Sockets 帮助程序 DLL wshtcpip.dll 10.0.19041.1 Winsock2 帮助程序 DLL (TL/IPv4) wshunix.dll 10.0.19041.1 AF_UNIX Winsock2 Helper DLL wsmagent.dll 10.0.19041.1 WinRM Agent wsmanmigrationplugin.dll 10.0.19041.1 WinRM Migration Plugin wsmauto.dll 10.0.19041.1 WSMAN Automation wsmplpxy.dll 10.0.19041.1 wsmplpxy wsmres.dll 10.0.19041.1 WSMan 资源 DLL wsmsvc.dll 10.0.19041.1 WSMan 服务 wsmwmipl.dll 10.0.19041.1 WSMAN WMI Provider wsnmp32.dll 10.0.19041.1 Microsoft WinSNMP v2.0 Manager API wsock32.dll 10.0.19041.1 Windows Socket 32-Bit DLL wsp_fs.dll 10.0.19041.1 Windows Storage Provider for FileShare management wsp_health.dll 10.0.19041.1 Windows Storage Provider for Health Agent API wsp_sr.dll 10.0.19041.1 Windows Storage Provider for Storage Replication management wtsapi32.dll 10.0.19041.1 Windows Remote Desktop Session Host Server SDK APIs wuapi.dll 10.0.19041.1 Windows 更新客户端 API wuceffects.dll 10.0.19041.1 Microsoft Composition Effects wudriver.dll 10.0.19041.1 Windows Update WUDriver Stub wups.dll 10.0.19041.1 Windows Update client proxy stub wvc.dll 1.0.0.1 Windows Visual Components wwaapi.dll 10.0.19041.264 Microsoft Web Application Host API library wwaext.dll 10.0.19041.1 Microsoft Web Application Host Extension library wwanapi.dll 10.0.19041.1 Mbnapi wwapi.dll 10.0.19041.1 WWAN API x3daudio1_0.dll 9.11.519.0 X3DAudio x3daudio1_1.dll 9.15.779.0 X3DAudio x3daudio1_2.dll 9.21.1148.0 X3DAudio x3daudio1_3.dll 9.22.1284.0 X3DAudio x3daudio1_4.dll 9.23.1350.0 X3DAudio x3daudio1_5.dll 9.25.1476.0 X3DAudio x3daudio1_6.dll 9.26.1590.0 3D Audio Library x3daudio1_7.dll 9.28.1886.0 3D Audio Library xactengine2_0.dll 9.11.519.0 XACT Engine API xactengine2_1.dll 9.12.589.0 XACT Engine API xactengine2_10.dll 9.21.1148.0 XACT Engine API xactengine2_2.dll 9.13.644.0 XACT Engine API xactengine2_3.dll 9.14.701.0 XACT Engine API xactengine2_4.dll 9.15.779.0 XACT Engine API xactengine2_5.dll 9.16.857.0 XACT Engine API xactengine2_6.dll 9.17.892.0 XACT Engine API xactengine2_7.dll 9.18.944.0 XACT Engine API xactengine2_8.dll 9.19.1007.0 XACT Engine API xactengine2_9.dll 9.20.1057.0 XACT Engine API xactengine3_0.dll 9.22.1284.0 XACT Engine API xactengine3_1.dll 9.23.1350.0 XACT Engine API xactengine3_2.dll 9.24.1400.0 XACT Engine API xactengine3_3.dll 9.25.1476.0 XACT Engine API xactengine3_4.dll 9.26.1590.0 XACT Engine API xactengine3_5.dll 9.27.1734.0 XACT Engine API xactengine3_6.dll 9.28.1886.0 XACT Engine API xactengine3_7.dll 9.29.1962.0 XACT Engine API xapofx1_0.dll 9.23.1350.0 XAPOFX xapofx1_1.dll 9.24.1400.0 XAPOFX xapofx1_2.dll 9.25.1476.0 XAPOFX xapofx1_3.dll 9.26.1590.0 Audio Effect Library xapofx1_4.dll 9.28.1886.0 Audio Effect Library xapofx1_5.dll 9.29.1962.0 Audio Effect Library xaudio2_0.dll 9.22.1284.0 XAudio2 Game Audio API xaudio2_1.dll 9.23.1350.0 XAudio2 Game Audio API xaudio2_2.dll 9.24.1400.0 XAudio2 Game Audio API xaudio2_3.dll 9.25.1476.0 XAudio2 Game Audio API xaudio2_4.dll 9.26.1590.0 XAudio2 Game Audio API xaudio2_5.dll 9.27.1734.0 XAudio2 Game Audio API xaudio2_6.dll 9.28.1886.0 XAudio2 Game Audio API xaudio2_7.dll 9.29.1962.0 XAudio2 Game Audio API xaudio2_8.dll 10.0.19041.1 XAudio2 Game Audio API xaudio2_9.dll 10.0.19041.1 XAudio2 Game Audio API xblauthmanagerproxy.dll 10.0.19041.1 XblAuthManagerProxy xblauthtokenbrokerext.dll 10.0.19041.1 Xbox Live Token Broker Extension xblgamesaveproxy.dll 10.0.19041.1 Xbox Live Game Save Service Proxies and Stubs xboxgipsynthetic.dll xinput1_1.dll 9.12.589.0 Microsoft Common Controller API xinput1_2.dll 9.14.701.0 Microsoft Common Controller API xinput1_3.dll 9.18.944.0 Microsoft Common Controller API xinput1_4.dll 10.0.19041.1 Microsoft 公共控制器 API xinput9_1_0.dll 10.0.19041.1 XNA 公共控制器 xinputuap.dll 10.0.19041.1 Microsoft Common Controller API xmlfilter.dll 2008.0.19041.1 XML 筛选器 xmllite.dll 10.0.19041.1 Microsoft XmlLite Library xmlprovi.dll 10.0.19041.1 Network Provisioning Service Client API xolehlp.dll 2001.12.10941.16384 Microsoft Distributed Transaction Coordinator Helper APIs DLL xpsdocumenttargetprint.dll 10.0.19041.1 XPS DocumentTargetPrint DLL xpsgdiconverter.dll 10.0.19041.1 XPS to GDI Converter xpsprint.dll 10.0.19041.1 XPS Printing DLL xpsrasterservice.dll 10.0.19041.1 XPS Rasterization Service Component xpsservices.dll 10.0.19041.84 Xps Object Model in memory creation and deserialization xwizards.dll 10.0.19041.1 可扩展向导管理器模块 xwreg.dll 10.0.19041.1 Extensible Wizard Registration Manager Module xwtpdui.dll 10.0.19041.1 用于 DUI 的可扩展向导类型插件 xwtpw32.dll 10.0.19041.1 用于 Win32 的可扩展向导类型插件 zipcontainer.dll 10.0.19041.1 Zip Container DLL zipfldr.dll 10.0.19041.1 压缩(zipped)文件夹 --------[ 证书 ]-------------------------------------------------------------------------------------------------------- [ Certificate Authorities / GlobalSign RSA OV SSL CA 2018 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 57 85 3A 33 D4 3B 62 FC 1D 22 5F EE 01 有效期 2018/11/21 - 2028/11/21 MD5 Hash A75D8B210911EE173EFD25E1E00ED6FD SHA1 Hash DFE83023062B997682708B4EAB8E819AFF5D9775 颁发者: 通用名 GlobalSign 组织 GlobalSign 机构 GlobalSign Root CA - R3 主题: 通用名 GlobalSign RSA OV SSL CA 2018 组织 GlobalSign nv-sa 国家 Belgium 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Certificate Authorities / Microsoft Windows Hardware Compatibility ] 证书: 版本 V3 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 A0 69 FE 8F 9A 3F D1 11 8B 19 有效期 1997/10/1 - 2002/12/31 MD5 Hash 09C254BDE4EA50F26D1497F29C51AF6D SHA1 Hash 109F1CAED645BB78B3EA2B94C0697C740733031C 颁发者: 通用名 Microsoft Root Authority 机构 Copyright (c) 1997 Microsoft Corp. 机构 Microsoft Corporation 主题: 通用名 Microsoft Windows Hardware Compatibility 机构 Copyright (c) 1997 Microsoft Corp. 机构 Microsoft Windows Hardware Compatibility Intermediate CA 机构 Microsoft Corporation 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Certificate Authorities / R3 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 5A 5F A7 25 2E D6 F6 53 A7 18 0C CF 4A 08 2B 91 00 有效期 2020/9/4 - 2025/9/16 MD5 Hash E829E65D7C4307D6FBC13C179E037A36 SHA1 Hash A053375BFE84E8B748782C7CEE15827A6AF5A405 颁发者: 通用名 ISRG Root X1 组织 Internet Security Research Group 国家 United States 主题: 通用名 R3 组织 Let's Encrypt 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Certificate Authorities / RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 6C 8A BC 27 0C A0 9C 21 08 99 E3 AD 03 36 98 07 有效期 2020/7/16 - 2023/6/1 MD5 Hash EDDB1D20C841BFF50200E1FD03D36BAA SHA1 Hash 9BD08A58876F6C849DB6BB99A8B194892647860E 颁发者: 通用名 DigiCert Global Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 主题: 通用名 RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 组织 DigiCert Inc 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Certificate Authorities / Root Agency ] 证书: 版本 V3 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 F4 35 5C AA D4 B8 CF 11 8A 64 00 AA 00 6C 37 06 有效期 1996/5/29 - 2040/1/1 MD5 Hash C0A723F0DA35026B21EDB17597F1D470 SHA1 Hash FEE449EE0E3965A5246F000E87FDE2A065FD89D4 颁发者: 通用名 Root Agency 主题: 通用名 Root Agency 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Certificate Authorities / WoTrus DV Server CA [Run by the Issuer] ] 证书: 版本 V3 签名算法 SHA384 RSA (1.2.840.113549.1.1.12) 序列号 B0 4F B6 96 C1 EF 46 B1 AB 63 ED 94 6C 24 6E D5 00 有效期 2020/1/8 - 2030/1/8 MD5 Hash 38EB763F61C0D18ED4CBFF1254C9B3F1 SHA1 Hash A042A852961B90D5867591D0EA2B996CB9ECFEF1 颁发者: 通用名 USERTrust RSA Certification Authority 组织 The USERTRUST Network 国家 United States 地区 Jersey City 州/省 New Jersey 主题: 通用名 WoTrus DV Server CA [Run by the Issuer] 组织 WoTrus CA Limited 国家 China 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Certificate Authorities / www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 8F 07 93 3F 23 98 60 92 0F 2F D0 B4 BA EB FC 46 有效期 1997/4/17 - 2016/10/25 MD5 Hash ACD80EA27BB72CE700DC22724A5F1E92 SHA1 Hash D559A586669B08F46A30A133F8A9ED3D038E2EA8 颁发者: 组织 VeriSign, Inc. 机构 Class 3 Public Primary Certification Authority 国家 United States 主题: 组织 VeriSign Trust Network 机构 VeriSign, Inc. 机构 VeriSign International Server CA - Class 3 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Certum Trusted Network CA ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 C0 44 04 有效期 2008/10/22 - 2029/12/31 MD5 Hash D5E98140C51869FC462C8975620FAA78 SHA1 Hash 07E032E020B72C3F192F0628A2593A19A70F069E 颁发者: 通用名 Certum Trusted Network CA 组织 Unizeto Technologies S.A. 机构 Certum Certification Authority 国家 Poland 主题: 通用名 Certum Trusted Network CA 组织 Unizeto Technologies S.A. 机构 Certum Certification Authority 国家 Poland 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Certum ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 20 00 01 有效期 2002/6/11 - 2027/6/11 MD5 Hash 2C8F9F661D1890B147269D8E86828CA9 SHA1 Hash 6252DC40F71143A22FDE9EF7348E064251B18118 颁发者: 通用名 Certum CA 组织 Unizeto Sp. z o.o. 国家 Poland 主题: 通用名 Certum CA 组织 Unizeto Sp. z o.o. 国家 Poland 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DigiCert Baltimore Root ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 B9 00 00 02 有效期 2000/5/13 - 2025/5/13 MD5 Hash ACB694A59C17E0D791529BB19706A6E4 SHA1 Hash D4DE20D05E66FC53FE1A50882C78DB2852CAE474 颁发者: 通用名 Baltimore CyberTrust Root 组织 Baltimore 机构 CyberTrust 国家 Ireland 主题: 通用名 Baltimore CyberTrust Root 组织 Baltimore 机构 CyberTrust 国家 Ireland 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DigiCert Global Root G2 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 E5 FA 09 1D B1 64 28 BB A0 A9 11 A7 E6 F1 3A 03 有效期 2013/8/1 - 2038/1/15 MD5 Hash E4A68AC854AC5242460AFD72481B2A44 SHA1 Hash DF3C24F9BFD666761B268073FE06D1CC8D4F82A4 颁发者: 通用名 DigiCert Global Root G2 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 主题: 通用名 DigiCert Global Root G2 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DigiCert Trusted Root G4 ] 证书: 版本 V3 签名算法 SHA384 RSA (1.2.840.113549.1.1.12) 序列号 5C 75 77 A7 BD 07 39 E2 32 21 8E 9E 57 1B 9B 05 有效期 2013/8/1 - 2038/1/15 MD5 Hash 78F2FCAA601F2FB4EBC937BA532E7549 SHA1 Hash DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 颁发者: 通用名 DigiCert Trusted Root G4 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 主题: 通用名 DigiCert Trusted Root G4 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DigiCert ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 39 30 F0 1B FC 60 E5 8F FE 46 D8 17 E5 E0 E7 0C 有效期 2006/11/10 - 2031/11/10 MD5 Hash 87CE0B7B2A0E4900E158719B37A89372 SHA1 Hash 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 颁发者: 通用名 DigiCert Assured ID Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 主题: 通用名 DigiCert Assured ID Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DigiCert ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 4A C7 91 59 C9 6A 75 A1 B1 46 42 90 56 E0 3B 08 有效期 2006/11/10 - 2031/11/10 MD5 Hash 79E4A9840D7D3A96D7C04FE2434C892E SHA1 Hash A8985D3A65E5E5C4B2D7D66D40C6DD2FB19C5436 颁发者: 通用名 DigiCert Global Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 主题: 通用名 DigiCert Global Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DigiCert ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 77 25 46 AE F2 79 0B 8F 9B 40 0B 6A 26 5C AC 02 有效期 2006/11/10 - 2031/11/10 MD5 Hash D474DE575C39B2D39C8583C5C065498A SHA1 Hash 5FB7EE0633E259DBAD0C4C9AE6D38F1A61C7DC25 颁发者: 通用名 DigiCert High Assurance EV Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 主题: 通用名 DigiCert High Assurance EV Root CA 组织 DigiCert Inc 机构 www.digicert.com 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / DST Root CA X3 ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 6B 40 F8 2E 86 39 30 89 BA 27 A3 D6 80 B0 AF 44 有效期 2000/10/1 - 2021/9/30 MD5 Hash 410352DC0FF7501B16F0028EBA6F45C5 SHA1 Hash DAC9024F54D8F6DF94935FB1732638CA6AD77C13 颁发者: 通用名 DST Root CA X3 组织 Digital Signature Trust Co. 主题: 通用名 DST Root CA X3 组织 Digital Signature Trust Co. 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Entrust.net ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 28 8C 53 4A 有效期 2009/7/8 - 2030/12/8 MD5 Hash 4BE2C99196650CF40E5A9392A00AFEB2 SHA1 Hash 8CF427FD790C3AD166068DE81E57EFBB932272D4 颁发者: 通用名 Entrust Root Certification Authority - G2 组织 Entrust, Inc. 机构 See www.entrust.net/legal-terms 机构 (c) 2009 Entrust, Inc. - for authorized use only 国家 United States 主题: 通用名 Entrust Root Certification Authority - G2 组织 Entrust, Inc. 机构 See www.entrust.net/legal-terms 机构 (c) 2009 Entrust, Inc. - for authorized use only 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / GlobalSign Code Signing Root R45 ] 证书: 版本 V3 签名算法 SHA384 RSA (1.2.840.113549.1.1.12) 序列号 F8 4E 3A 48 4A D7 E5 F5 93 48 46 75 AC FE 53 76 有效期 2020/3/18 - 2045/3/18 MD5 Hash E94FB54871208C00DF70F708AC47085B SHA1 Hash 4EFC31460C619ECAE59C1BCE2C008036D94C84B8 颁发者: 通用名 GlobalSign Code Signing Root R45 组织 GlobalSign nv-sa 国家 Belgium 主题: 通用名 GlobalSign Code Signing Root R45 组织 GlobalSign nv-sa 国家 Belgium 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / GlobalSign Root CA - R1 ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 94 C3 5A 4B 15 01 00 00 00 00 04 有效期 1998/9/1 - 2028/1/28 MD5 Hash 3E455215095192E1B75D379FB187298A SHA1 Hash B1BC968BD4F49D622AA89A81F2150152A41D829C 颁发者: 通用名 GlobalSign Root CA 组织 GlobalSign nv-sa 机构 Root CA 国家 Belgium 主题: 通用名 GlobalSign Root CA 组织 GlobalSign nv-sa 机构 Root CA 国家 Belgium 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / GlobalSign Root CA - R3 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 A2 08 53 58 21 01 00 00 00 00 04 有效期 2009/3/18 - 2029/3/18 MD5 Hash C5DFB849CA051355EE2DBA1AC33EB028 SHA1 Hash D69B561148F01C77C54578C10926DF5B856976AD 颁发者: 通用名 GlobalSign 组织 GlobalSign 机构 GlobalSign Root CA - R3 主题: 通用名 GlobalSign 组织 GlobalSign 机构 GlobalSign Root CA - R3 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / GlobalSign Root CA - R6 ] 证书: 版本 V3 签名算法 SHA384 RSA (1.2.840.113549.1.1.12) 序列号 51 45 FF E6 48 65 85 C3 33 83 03 BB E6 45 有效期 2014/12/10 - 2034/12/10 MD5 Hash 4FDD07E4D42264391E0C3742EAD1C6AE SHA1 Hash 8094640EB5A7A1CA119C1FDDD59F810263A7FBD1 颁发者: 通用名 GlobalSign 组织 GlobalSign 机构 GlobalSign Root CA - R6 主题: 通用名 GlobalSign 组织 GlobalSign 机构 GlobalSign Root CA - R6 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Go Daddy Class 2 Certification Authority ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 00 有效期 2004/6/30 - 2034/6/30 MD5 Hash 91DE0625ABDAFD32170CBB25172A8467 SHA1 Hash 2796BAE63F1801E277261BA0D77770028F20EEE4 颁发者: 组织 The Go Daddy Group, Inc. 机构 Go Daddy Class 2 Certification Authority 国家 United States 主题: 组织 The Go Daddy Group, Inc. 机构 Go Daddy Class 2 Certification Authority 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Go Daddy Root Certificate Authority – G2 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 00 有效期 2009/9/1 - 2038/1/1 MD5 Hash 803ABC22C1E6FB8D9B3B274A321B9A01 SHA1 Hash 47BEABC922EAE80E78783462A79F45C254FDE68B 颁发者: 通用名 Go Daddy Root Certificate Authority - G2 组织 GoDaddy.com, Inc. 国家 United States 地区 Scottsdale 州/省 Arizona 主题: 通用名 Go Daddy Root Certificate Authority - G2 组织 GoDaddy.com, Inc. 国家 United States 地区 Scottsdale 州/省 Arizona 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Hotspot 2.0 Trust Root CA - 03 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 B7 ED 01 DE 89 09 B9 E0 33 A4 86 F2 70 0F B3 0C 有效期 2013/12/8 - 2043/12/8 MD5 Hash EB1577B40B3C8BABAE346DD98EAD0780 SHA1 Hash 51501FBFCE69189D609CFAF140C576755DCC1FDF 颁发者: 通用名 Hotspot 2.0 Trust Root CA - 03 组织 WFA Hotspot 2.0 国家 United States 主题: 通用名 Hotspot 2.0 Trust Root CA - 03 组织 WFA Hotspot 2.0 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / ISRG Root X1 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 00 8B 82 63 BB E0 63 44 59 E3 40 D2 B0 CF 10 82 00 有效期 2015/6/4 - 2035/6/4 MD5 Hash 0CD2F9E0DA1773E9ED864DA5E370E74E SHA1 Hash CABD2A79A1076A31F21D253635CB039D4329A5E8 颁发者: 通用名 ISRG Root X1 组织 Internet Security Research Group 国家 United States 主题: 通用名 ISRG Root X1 组织 Internet Security Research Group 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Authenticode(tm) Root ] 证书: 版本 V3 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 01 有效期 1995/1/1 - 2000/1/1 MD5 Hash DC6D6FAF897CDD17332FB5BA9035E9CE SHA1 Hash 7F88CD7223F3C813818C994614A89C99FA3B5247 颁发者: 通用名 Microsoft Authenticode(tm) Root Authority 组织 MSFT 国家 United States 主题: 通用名 Microsoft Authenticode(tm) Root Authority 组织 MSFT 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Development Root Certificate Authority 2014 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 5A 23 F0 1B EC 4F 4E 43 9E 11 DF 03 9D 0A 8F 07 有效期 2014/5/29 - 2039/5/29 MD5 Hash E0E22B8B045E62F1B233EE948B8F0915 SHA1 Hash F8DB7E1C16F1FFD4AAAD4AAD8DFF0F2445184AEB 颁发者: 通用名 Microsoft Development Root Certificate Authority 2014 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft Development Root Certificate Authority 2014 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft ECC Development Root Certificate Authority 2018 ] 证书: 版本 V3 签名算法 1.2.840.10045.4.3.3 序列号 AE 45 29 88 4A 57 24 44 AA C6 14 77 7C 3F 62 38 有效期 2018/2/28 - 2043/2/28 MD5 Hash 4CE8ABFE54660FA37EA008F4E4E548ED SHA1 Hash 6CA22E5501CC80885FF281DD8B3338E89398EE18 颁发者: 通用名 Microsoft ECC Development Root Certificate Authority 2018 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft ECC Development Root Certificate Authority 2018 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 1.2.840.10045.2.1 [ Root Certificates / Microsoft ECC Product Root Certificate Authority 2018 ] 证书: 版本 V3 签名算法 1.2.840.10045.4.3.3 序列号 85 EC 99 B9 7B 67 53 40 8F CD 7C DC 66 26 98 14 有效期 2018/2/28 - 2043/2/28 MD5 Hash 1F124EDE13E06A023CD7C09A4F48C3D6 SHA1 Hash 06F1AA330B927B753A40E68CDF22E34BCBEF3352 颁发者: 通用名 Microsoft ECC Product Root Certificate Authority 2018 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft ECC Product Root Certificate Authority 2018 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 1.2.840.10045.2.1 [ Root Certificates / Microsoft ECC TS Root Certificate Authority 2018 ] 证书: 版本 V3 签名算法 1.2.840.10045.4.3.3 序列号 45 82 12 41 AF EF B4 47 B0 D1 7E 64 E1 75 38 15 有效期 2018/2/28 - 2043/2/28 MD5 Hash 37942958862A06E6BBCFD7AB59C7F23C SHA1 Hash 31F9FC8BA3805986B721EA7295C65B3A44534274 颁发者: 通用名 Microsoft ECC TS Root Certificate Authority 2018 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft ECC TS Root Certificate Authority 2018 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 1.2.840.10045.2.1 [ Root Certificates / Microsoft Flighting Root 2014 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 5A 23 F0 1B EC 4F 4E 43 9E 11 DF 03 9D 0A 8F 07 有效期 2014/5/29 - 2039/5/29 MD5 Hash E0E22B8B045E62F1B233EE948B8F0915 SHA1 Hash F8DB7E1C16F1FFD4AAAD4AAD8DFF0F2445184AEB 颁发者: 通用名 Microsoft Development Root Certificate Authority 2014 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft Development Root Certificate Authority 2014 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Root Authority ] 证书: 版本 V3 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 40 DF EC 63 F6 3E D1 11 88 3C 3C 8B 00 C1 00 有效期 1997/1/10 - 2020/12/31 MD5 Hash 2A954ECA79B2874573D92D90BAF99FB6 SHA1 Hash A43489159A520F0D93D032CCAF37E7FE20A8B419 颁发者: 通用名 Microsoft Root Authority 机构 Copyright (c) 1997 Microsoft Corp. 机构 Microsoft Corporation 主题: 通用名 Microsoft Root Authority 机构 Copyright (c) 1997 Microsoft Corp. 机构 Microsoft Corporation 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Root Certificate Authority 2010 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 AA 39 43 6B 58 9B 9A 44 AC 44 BA BF 25 3A CC 28 有效期 2010/6/24 - 2035/6/24 MD5 Hash A266BB7DCC38A562631361BBF61DD11B SHA1 Hash 3B1EFD3A66EA28B16697394703A72CA340A05BD5 颁发者: 通用名 Microsoft Root Certificate Authority 2010 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft Root Certificate Authority 2010 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Root Certificate Authority 2011 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 44 E1 42 6C D6 69 B5 43 96 B2 9F FC B5 C8 8B 3F 有效期 2011/3/23 - 2036/3/23 MD5 Hash CE0490D5E56C34A5AE0BE98BE581185D SHA1 Hash 8F43288AD272F3103B6FB1428485EA3014C0BCFE 颁发者: 通用名 Microsoft Root Certificate Authority 2011 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft Root Certificate Authority 2011 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Root Certificate Authority ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 65 2E 13 07 F4 58 73 4C AD A5 A0 4A A1 16 AD 79 有效期 2001/5/10 - 2021/5/10 MD5 Hash E1C07EA0AABBD4B77B84C228117808A7 SHA1 Hash CDD4EEAE6000AC7F40C3802C171E30148030C072 颁发者: 通用名 Microsoft Root Certificate Authority 主题: 通用名 Microsoft Root Certificate Authority 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Time Stamp Root Certificate Authority 2014 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 66 74 E2 3E 34 53 E9 45 90 32 93 22 43 7A D6 2F 有效期 2014/10/23 - 2039/10/23 MD5 Hash 34F72698D70E231F8DC45B57F118A44B SHA1 Hash 0119E81BE9A14CD8E22F40AC118C687ECBA3F4D8 颁发者: 通用名 Microsoft Time Stamp Root Certificate Authority 2014 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 主题: 通用名 Microsoft Time Stamp Root Certificate Authority 2014 组织 Microsoft Corporation 国家 United States 地区 Redmond 州/省 Washington 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Microsoft Timestamp Root ] 证书: 版本 V1 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 01 有效期 1997/5/14 - 1999/12/31 MD5 Hash 556EBEF54C1D7C0360C43418BC9649C1 SHA1 Hash 245C97DF7514E7CF2DF8BE72AE957B9E04741E85 颁发者: 组织 Microsoft Trust Network 机构 Microsoft Corporation 机构 Microsoft Time Stamping Service Root 主题: 组织 Microsoft Trust Network 机构 Microsoft Corporation 机构 Microsoft Time Stamping Service Root 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / QuoVadis Root Certification Authority ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 8B 50 B6 3A 有效期 2001/3/20 - 2021/3/18 MD5 Hash 27DE36FE72B70003009DF4F01E6C0424 SHA1 Hash DE3F40BD5093D39B6C60F6DABC076201008976C9 颁发者: 通用名 QuoVadis Root Certification Authority 组织 QuoVadis Limited 机构 Root Certification Authority 国家 Bermuda 主题: 通用名 QuoVadis Root Certification Authority 组织 QuoVadis Limited 机构 Root Certification Authority 国家 Bermuda 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Sectigo (AAA) ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 01 有效期 2004/1/1 - 2029/1/1 MD5 Hash 497904B0EB8719AC47B0BC11519B74D0 SHA1 Hash D1EB23A46D17D68FD92564C2F1F1601764D8E349 颁发者: 通用名 AAA Certificate Services 组织 Comodo CA Limited 国家 United Kingdom 地区 Salford 州/省 Greater Manchester 主题: 通用名 AAA Certificate Services 组织 Comodo CA Limited 国家 United Kingdom 地区 Salford 州/省 Greater Manchester 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Sectigo (AddTrust) ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 01 有效期 2000/5/30 - 2020/5/30 MD5 Hash 1D3554048578B03F42424DBF20730A3F SHA1 Hash 02FAF3E291435468607857694DF5E45B68851868 颁发者: 通用名 AddTrust External CA Root 组织 AddTrust AB 机构 AddTrust External TTP Network 国家 Sweden 主题: 通用名 AddTrust External CA Root 组织 AddTrust AB 机构 AddTrust External TTP Network 国家 Sweden 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Sectigo (formerly Comodo CA) ] 证书: 版本 V3 签名算法 SHA384 RSA (1.2.840.113549.1.1.12) 序列号 9D 86 03 5B D8 4E F7 1F E0 6F 63 DB CA F9 AA 4C 有效期 2010/1/19 - 2038/1/19 MD5 Hash 1B31B0714036CC143691ADC43EFDEC18 SHA1 Hash AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4 颁发者: 通用名 COMODO RSA Certification Authority 组织 COMODO CA Limited 国家 United Kingdom 地区 Salford 州/省 Greater Manchester 主题: 通用名 COMODO RSA Certification Authority 组织 COMODO CA Limited 国家 United Kingdom 地区 Salford 州/省 Greater Manchester 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Sectigo (UTN Object) ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 1B 5F B3 E0 2D 36 D3 11 B4 24 00 50 8B 0C BE 44 有效期 1999/7/10 - 2019/7/10 MD5 Hash A7F2E41606411150306B9CE3B49CB0C9 SHA1 Hash E12DFB4B41D7D9C32B30514BAC1D81D8385E2D46 颁发者: 通用名 UTN-USERFirst-Object 组织 The USERTRUST Network 机构 http://www.usertrust.com 国家 United States 地区 Salt Lake City 州/省 UT 主题: 通用名 UTN-USERFirst-Object 组织 The USERTRUST Network 机构 http://www.usertrust.com 国家 United States 地区 Salt Lake City 州/省 UT 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Sectigo ] 证书: 版本 V3 签名算法 SHA384 RSA (1.2.840.113549.1.1.12) 序列号 2D 03 35 0E 64 BC 1B A8 51 CA A3 FC 30 6D FD 01 有效期 2010/2/1 - 2038/1/19 MD5 Hash 1BFE69D191B71933A372A80FE155E5B5 SHA1 Hash 2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E 颁发者: 通用名 USERTrust RSA Certification Authority 组织 The USERTRUST Network 国家 United States 地区 Jersey City 州/省 New Jersey 主题: 通用名 USERTrust RSA Certification Authority 组织 The USERTRUST Network 国家 United States 地区 Jersey City 州/省 New Jersey 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Starfield Class 2 Certification Authority ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 00 有效期 2004/6/30 - 2034/6/30 MD5 Hash 324A4BBBC863699BBE749AC6DD1D4624 SHA1 Hash AD7E1C28B064EF8F6003402014C3D0E3370EB58A 颁发者: 组织 Starfield Technologies, Inc. 机构 Starfield Class 2 Certification Authority 国家 United States 主题: 组织 Starfield Technologies, Inc. 机构 Starfield Class 2 Certification Authority 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Starfield Root Certificate Authority – G2 ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 00 有效期 2009/9/1 - 2038/1/1 MD5 Hash D63981C6527E9669FCFCCA66ED05F296 SHA1 Hash B51C067CEE2B0C3DF855AB2D92F4FE39D4E70F0E 颁发者: 通用名 Starfield Root Certificate Authority - G2 组织 Starfield Technologies, Inc. 国家 United States 地区 Scottsdale 州/省 Arizona 主题: 通用名 Starfield Root Certificate Authority - G2 组织 Starfield Technologies, Inc. 国家 United States 地区 Scottsdale 州/省 Arizona 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Symantec Enterprise Mobile Root for Microsoft ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 CE D8 F4 BD A9 29 66 0F 7B 90 BF 9E 2F 55 6B 0F 有效期 2012/3/15 - 2032/3/15 MD5 Hash 71D0A5FF2D59741694BEE37D1E5C860B SHA1 Hash 92B46C76E13054E104F230517E6E504D43AB10B5 颁发者: 通用名 Symantec Enterprise Mobile Root for Microsoft 组织 Symantec Corporation 国家 United States 主题: 通用名 Symantec Enterprise Mobile Root for Microsoft 组织 Symantec Corporation 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / Thawte Timestamping CA ] 证书: 版本 V3 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 00 有效期 1997/1/1 - 2021/1/1 MD5 Hash 7F667A71D3EB6978209A51149D83DA20 SHA1 Hash BE36A4562FB2EE05DBB3D32323ADF445084ED656 颁发者: 通用名 Thawte Timestamping CA 组织 Thawte 机构 Thawte Certification 国家 South Africa 地区 Durbanville 州/省 Western Cape 主题: 通用名 Thawte Timestamping CA 组织 Thawte 机构 Thawte Certification 国家 South Africa 地区 Durbanville 州/省 Western Cape 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / thawte ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 6D 2B DB 37 CE 2F F4 49 EC ED D5 20 57 D5 4E 34 有效期 2006/11/17 - 2036/7/17 MD5 Hash 8CCADC0B22CEF5BE72AC411A11A8D812 SHA1 Hash 91C6D6EE3E8AC86384E548C299295C756C817B81 颁发者: 通用名 thawte Primary Root CA 组织 thawte, Inc. 机构 Certification Services Division 机构 (c) 2006 thawte, Inc. - For authorized use only 国家 United States 主题: 通用名 thawte Primary Root CA 组织 thawte, Inc. 机构 Certification Services Division 机构 (c) 2006 thawte, Inc. - For authorized use only 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / VeriSign Class 3 Public Primary CA ] 证书: 版本 V1 签名算法 MD2 RSA (1.2.840.113549.1.1.2) 序列号 BF BA CC 03 7B CA 38 B6 34 29 D9 10 1D E4 BA 70 有效期 1996/1/29 - 2028/8/2 MD5 Hash 10FC635DF6263E0DF325BE5F79CD6767 SHA1 Hash 742C3192E607E424EB4549542BE1BBC53E6174E2 颁发者: 组织 VeriSign, Inc. 机构 Class 3 Public Primary Certification Authority 国家 United States 主题: 组织 VeriSign, Inc. 机构 Class 3 Public Primary Certification Authority 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / VeriSign Time Stamping CA ] 证书: 版本 V1 签名算法 MD5 RSA (1.2.840.113549.1.1.4) 序列号 A3 DC 5D 15 5F 73 5D A5 1C 59 82 8C 38 D2 19 4A 有效期 1997/5/12 - 2004/1/8 MD5 Hash EBB04F1D3A2E372F1DDA6E27D6B680FA SHA1 Hash 18F7C1FCC3090203FD5BAA2F861A754976C8DD25 颁发者: 组织 VeriSign Trust Network 机构 VeriSign, Inc. 机构 VeriSign Time Stamping Service Root 机构 NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc. 主题: 组织 VeriSign Trust Network 机构 VeriSign, Inc. 机构 VeriSign Time Stamping Service Root 机构 NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc. 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / VeriSign Universal Root Certification Authority ] 证书: 版本 V3 签名算法 SHA256 RSA (1.2.840.113549.1.1.11) 序列号 1D C5 1A 12 E4 BB 0E 03 21 13 B3 21 64 C4 1A 40 有效期 2008/4/2 - 2037/12/2 MD5 Hash 8EADB501AA4D81E48C1DD1E114009519 SHA1 Hash 3679CA35668772304D30A5FB873B0FA77BB70D54 颁发者: 通用名 VeriSign Universal Root Certification Authority 组织 VeriSign, Inc. 机构 VeriSign Trust Network 机构 (c) 2008 VeriSign, Inc. - For authorized use only 国家 United States 主题: 通用名 VeriSign Universal Root Certification Authority 组织 VeriSign, Inc. 机构 VeriSign Trust Network 机构 (c) 2008 VeriSign, Inc. - For authorized use only 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / VeriSign ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 4A 3B 6B CC CD 58 21 4A BB E8 7D 26 9E D1 DA 18 有效期 2006/11/8 - 2036/7/17 MD5 Hash CB17E431673EE209FE455793F30AFA1C SHA1 Hash 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5 颁发者: 通用名 VeriSign Class 3 Public Primary Certification Authority - G5 组织 VeriSign, Inc. 机构 VeriSign Trust Network 机构 (c) 2006 VeriSign, Inc. - For authorized use only 国家 United States 主题: 通用名 VeriSign Class 3 Public Primary Certification Authority - G5 组织 VeriSign, Inc. 机构 VeriSign Trust Network 机构 (c) 2006 VeriSign, Inc. - For authorized use only 国家 United States 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) [ Root Certificates / WoSign ] 证书: 版本 V3 签名算法 SHA1 RSA (1.2.840.113549.1.1.5) 序列号 91 C5 C9 3E F3 68 00 56 50 63 94 71 11 D6 68 5E 有效期 2009/8/8 - 2039/8/8 MD5 Hash A1F2F9B5D2C87A74B8F305F1D7E1848D SHA1 Hash B94294BF91EA8FB64BE61097C7FB001359B676CB 颁发者: 通用名 Certification Authority of WoSign 组织 WoSign CA Limited 国家 China 主题: 通用名 Certification Authority of WoSign 组织 WoSign CA Limited 国家 China 公钥: 公钥算法 RSA (1.2.840.113549.1.1.1) --------[ 已运行时间 ]-------------------------------------------------------------------------------------------------- 当前状态: 上次关机 2022/4/29 19:49:29 上次开机 2022/4/29 20:05:02 上次关机时长 933 秒 - (0 天 0 小时 15 分 33 秒) 当前时间 2022/4/29 22:58:09 已运行时间 10387 秒 - (0 天 2 小时 53 分 7 秒) 运行统计: 首次开机 2022/4/21 5:21:12 首次关机 2022/4/21 5:42:44 总共运行 353913 秒 - (4 天 2 小时 18 分 33 秒) 总共关机 399923 秒 - (4 天 15 小时 5 分 23 秒) 最长运行 84116 秒 - (0 天 23 小时 21 分 56 秒) 最长关机 92894 秒 - (1 天 1 小时 48 分 14 秒) 重启次数 11 系统使用率 46.95% 蓝屏统计: 蓝屏次数 0 信息: 信息 上述统计基于系统事件日志而作出 --------[ 共享 ]-------------------------------------------------------------------------------------------------------- ADMIN$ 文件夹 远程管理 C:\Windows C$ 文件夹 默认共享 C:\ [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] E$ 文件夹 默认共享 E:\ F$ 文件夹 默认共享 F:\ [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] --------[ 帐户安全性 ]-------------------------------------------------------------------------------------------------- 帐户安全性: 计算机用途 主机 域名 XTT-20220421VKV 主域控制器 未指定 强制注销时间 已禁用 最短/最长密码寿命 0 / 42 天 最小密码长度 0 字符 密码历史记录 已禁用 锁定阈值 已禁用 锁定时间 30 分 锁定观察窗口 30 分 --------[ 登录 ]-------------------------------------------------------------------------------------------------------- Administrator XTT-20220421VKV XTT-20220421VKV Administrator XTT-20220421VKV XTT-20220421VKV --------[ 用户 ]-------------------------------------------------------------------------------------------------------- [ Administrator ] 用户信息: 用户名称 Administrator 全称 Administrator 注释 管理计算机(域)的内置帐户 隶属组 Administrators 登录次数 34 磁盘配额 - 用户特征: 已执行登录脚本 是 帐号已停用 否 已锁定用户 否 需要 Home 文件夹 否 需要密码 是 只读密码 否 密码永不过期 是 [ DefaultAccount ] 用户信息: 用户名称 DefaultAccount 全称 DefaultAccount 注释 系统管理的用户帐户。 隶属组 System Managed Accounts Group 登录次数 0 磁盘配额 - 用户特征: 已执行登录脚本 是 帐号已停用 是 已锁定用户 否 需要 Home 文件夹 否 需要密码 否 只读密码 否 密码永不过期 是 [ Guest ] 用户信息: 用户名称 Guest 全称 Guest 注释 供来宾访问计算机或访问域的内置帐户 隶属组 Guests 登录次数 0 磁盘配额 - 用户特征: 已执行登录脚本 是 帐号已停用 是 已锁定用户 否 需要 Home 文件夹 否 需要密码 否 只读密码 是 密码永不过期 是 [ WDAGUtilityAccount ] 用户信息: 用户名称 WDAGUtilityAccount 全称 WDAGUtilityAccount 注释 系统为 Windows Defender 应用程序防护方案管理和使用的用户帐户。 登录次数 0 磁盘配额 - 用户特征: 已执行登录脚本 是 帐号已停用 是 已锁定用户 否 需要 Home 文件夹 否 需要密码 是 只读密码 否 密码永不过期 否 --------[ 本地组 ]------------------------------------------------------------------------------------------------------ [ Access Control Assistance Operators ] 本地组信息: 注释 此组的成员可以远程查询此计算机上资源的授权属性和权限。 [ Administrators ] 本地组信息: 注释 管理员对计算机/域有不受限制的完全访问权 组成员: Administrator [ Backup Operators ] 本地组信息: 注释 备份操作员为了备份或还原文件可以替代安全限制 [ Cryptographic Operators ] 本地组信息: 注释 授权成员执行加密操作。 [ Device Owners ] 本地组信息: 注释 此组的成员可以更改系统范围内的设置。 [ Distributed COM Users ] 本地组信息: 注释 成员允许启动、激活和使用此计算机上的分布式 COM 对象。 [ Event Log Readers ] 本地组信息: 注释 此组的成员可以从本地计算机中读取事件日志 [ Guests ] 本地组信息: 注释 按默认值,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多 组成员: Guest [ Hyper-V Administrators ] 本地组信息: 注释 此组的成员拥有对 Hyper-V 所有功能的完全且不受限制的访问权限。 [ IIS_IUSRS ] 本地组信息: 注释 Internet 信息服务使用的内置组。 组成员: IUSR [ Network Configuration Operators ] 本地组信息: 注释 此组中的成员有部分管理权限来管理网络功能的配置 [ Performance Log Users ] 本地组信息: 注释 该组中的成员可以计划进行性能计数器日志记录、启用跟踪记录提供程序,以及在本地或通过远程访问此计算机来收集事件跟踪记录 [ Performance Monitor Users ] 本地组信息: 注释 此组的成员可以从本地和远程访问性能计数器数据 [ Power Users ] 本地组信息: 注释 包括高级用户以向下兼容,高级用户拥有有限的管理权限 [ Remote Desktop Users ] 本地组信息: 注释 此组中的成员被授予远程登录的权限 [ Remote Management Users ] 本地组信息: 注释 此组的成员可以通过管理协议(例如,通过 Windows 远程管理服务实现的 WS-Management)访问 WMI 资源。这仅适用于授予用户访问权限的 WMI 命名空间。 [ Replicator ] 本地组信息: 注释 支持域中的文件复制 [ System Managed Accounts Group ] 本地组信息: 注释 此组的成员由系统管理。 组成员: DefaultAccount [ Users ] 本地组信息: 注释 防止用户进行有意或无意的系统范围的更改,但是可以运行大部分应用程序 组成员: Authenticated Users INTERACTIVE --------[ 全局组 ]------------------------------------------------------------------------------------------------------ [ None ] 全局组信息: 注释 一般用户 组成员: Administrator DefaultAccount Guest WDAGUtilityAccount --------[ Windows 视频 ]------------------------------------------------------------------------------------------------ [ Intel(R) HD Graphics 4400 ] 显示适配器: 设备描述 Intel(R) HD Graphics 4400 适配器字符串 Intel(R) HD Graphics 4400 BIOS 字符串 Intel Video BIOS 芯片类型 Intel(R) HD Graphics Family DAC 类型 内部 驱动程序日期 2016/5/25 驱动程序版本 20.19.15.4463 驱动程序提供商 Intel Corporation DCH Driver 否 显存大小 1 GB 已安装驱动程序: igdumdim64 20.19.15.4463 igd10iumd64 20.19.15.4463 igd10iumd64 20.19.15.4463 igd12umd64 20.19.15.4463 igdumdim32 20.19.15.4463 igd10iumd32 20.19.15.4463 igd10iumd32 20.19.15.4463 igd12umd32 20.19.15.4463 显示适配器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Intel(R) HD Graphics 4400 ] 显示适配器: 设备描述 Intel(R) HD Graphics 4400 适配器字符串 Intel(R) HD Graphics 4400 BIOS 字符串 Intel Video BIOS 芯片类型 Intel(R) HD Graphics Family DAC 类型 内部 驱动程序日期 2016/5/25 驱动程序版本 20.19.15.4463 驱动程序提供商 Intel Corporation DCH Driver 否 显存大小 1 GB 已安装驱动程序: igdumdim64 20.19.15.4463 igd10iumd64 20.19.15.4463 igd10iumd64 20.19.15.4463 igd12umd64 20.19.15.4463 igdumdim32 20.19.15.4463 igd10iumd32 20.19.15.4463 igd10iumd32 20.19.15.4463 igd12umd32 20.19.15.4463 显示适配器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Intel(R) HD Graphics 4400 ] 显示适配器: 设备描述 Intel(R) HD Graphics 4400 适配器字符串 Intel(R) HD Graphics 4400 BIOS 字符串 Intel Video BIOS 芯片类型 Intel(R) HD Graphics Family DAC 类型 内部 驱动程序日期 2016/5/25 驱动程序版本 20.19.15.4463 驱动程序提供商 Intel Corporation DCH Driver 否 显存大小 1 GB 已安装驱动程序: igdumdim64 20.19.15.4463 igd10iumd64 20.19.15.4463 igd10iumd64 20.19.15.4463 igd12umd64 20.19.15.4463 igdumdim32 20.19.15.4463 igd10iumd32 20.19.15.4463 igd10iumd32 20.19.15.4463 igd12umd32 20.19.15.4463 显示适配器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ PCI/AGP 视频 ]------------------------------------------------------------------------------------------------ Intel HD Graphics 4400 显示适配器 nVIDIA GeForce GTX 850M 显示适配器 Intel HD Graphics 4400 3D 加速器 nVIDIA GeForce GTX 850M 3D 加速器 --------[ 图形处理器(GPU) ]--------------------------------------------------------------------------------------------- [ PCI Express 2.0 x16: nVIDIA GeForce GTX 850M (Acer) ] 图形处理器(GPU): 显示适配器 nVIDIA GeForce GTX 850M (Acer) GPU 代码名称 GM107M PCI 设备 10DE-1391 / 1025-091C (Rev A2) 晶体管数量 1870 百万 工艺技术 28 nm 核心尺寸 148 mm2 ASIC Quality 83.8% 总线类型 PCI Express 2.0 x16 @ 1.1 x4 显存大小 4 GB GPU 核心频率 135 MHz RAMDAC 频率 400 MHz 像素流水线 16 纹理贴图单元 40 统一着色引擎 640 (v6.5) DirectX 硬件支持 DirectX v11 Performance Cap Reason 使用率 WDDM 版本 WDDM 2.7 内存总线特性: 总线类型 DDR3 (Hynix) 总线位宽 128 位 外部频率 405 MHz (DDR) 有效频率 810 MHz 带宽 [ TRIAL VERSION ] 架构: 架构 nVIDIA Maxwell 串流多重处理器 (SMM) 5 L1 纹理缓存 24 KB per multiprocessor L2 缓存 2 MB Local Data Share 64 KB 理论峰值性能: 像素填充率 2160 兆像素/秒 @ 135 MHz 纹理填充率 [ TRIAL VERSION ] 单精度浮点运算 172.8 GFLOPS @ 135 MHz 双精度浮点运算 [ TRIAL VERSION ] 24位整数 I/O 运算 57.6 GIOPS @ 135 MHz 32位整数 I/O 运算 57.6 GIOPS @ 135 MHz 使用率: 图形处理器(GPU) 0% 内存控制器 0% Video Engine 0% Bus Interface 0% 专用内存 2 MB 动态内存 0 MB nVIDIA ForceWare Clocks: Standard 2D 图形处理器(GPU): 405 MHz, 内存: 405 MHz Low-Power 3D 图形处理器(GPU): 405 MHz, 内存: 800 MHz Performance 3D 图形处理器(GPU): 540 MHz, 内存: 1001 MHz 图形处理器制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates nVIDIA GPU Registers: nv-000000 117110A2 nv-001538 80004FEC nv-001704 800FFFE1 nv-001714 C00FFFE2 nv-00E114 00000001 nv-00E118 00000000 nv-00E11C 00000001 nv-00E120 03000000 nv-00E728 00000000 nv-00E820 01030005 nv-00E8A0 0200000A nv-020008 00003735 nv-020014 060903C0 nv-0200C4 000000D8 nv-0200C8 00000000 nv-0200D8 010000D8 nv-0200DC 00000000 nv-020340 00000060 nv-020344 0000001B nv-020348 00000000 nv-020400 00000037 nv-021000 C0040000 nv-0214A8 000006F4 nv-022400 00000000 nv-022430 00000001 nv-022434 00000005 nv-022438 00000002 nv-02243C 00000002 nv-022440 00000004 nv-088000 139110DE nv-08A000 0FBC10DE nv-100714 00000302 nv-101000 80400082 nv-10100C 82013000 nv-10F290 07208217 nv-10F294 40820307 nv-10F590 00000501 nv-120070 00000001 nv-120074 00000002 nv-120078 00000001 nv-122634 BADF510C nv-17E924 00000002 nv-300000 00000000 nv-310000 00000000 nv-700000 FFFFFFFF nv-7E0000 FFFFFEDF [ 内置: Intel Haswell-ULT GT2 - Integrated Graphics Controller ] 图形处理器(GPU): 显示适配器 Intel Haswell-ULT GT2 - Integrated Graphics Controller BIOS 版本 Build Number: 1019 PC 14.34 08/06/2014 21:03:24 BIOS 日期 2014/8/6 GPU 代码名称 Haswell-ULT GT2 PCI 设备 8086-0A16 / 1025-091C (Rev 0B) 工艺技术 22 nm 总线类型 内置 GPU 核心频率 599 MHz (原始频率: 200 MHz) GPU 核心频率 (Turbo) 200 - 998 MHz RAMDAC 频率 350 MHz 像素流水线 4 纹理贴图单元/流水线 1 统一着色引擎 80 (v5.1) DirectX 硬件支持 DirectX v11.1 WDDM 版本 WDDM 2.0 架构: 架构 Intel Gen7.5 Execution Units (EU) 20 L1 指令缓存 32 KB L1 纹理缓存 4 KB L2 纹理缓存 24 KB L3 缓存 256 KB Unified Return Buffer 256 KB 理论峰值性能: 像素填充率 2396 兆像素/秒 @ 599 MHz 纹理填充率 [ TRIAL VERSION ] 单精度浮点运算 191.7 GFLOPS @ 599 MHz 双精度浮点运算 [ TRIAL VERSION ] 使用率: 专用内存 0 MB 动态内存 110 MB 图形处理器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ 显示器 ]------------------------------------------------------------------------------------------------------ [ LG Philips LP156WF4-SPK1 ] 显示器属性: 显示器名称 LG Philips LP156WF4-SPK1 显示器 ID LGD0443 制造商 LG Display 型号 LP156WF4-SPK1 显示器类型 15.6" LCD (FHD) 制造日期 2013 序列号 无 最大可用屏幕 345 mm x 194 mm (15.6") 图像宽高比 16:9 最大分辨率 1920 x 1080 像素密度 141 ppi 伽马值 2.20 支持电源管理模式(DPMS) Standby, Suspend, Active-Off 支持视频模式: 1920 x 1080 像素频率: 138.70 MHz 显示器制造商: 公司名称 LG Electronics 产品信息 http://www.lg.com/us/monitors 驱动程序下载 http://www.lg.com/us/support 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ 桌面 ]-------------------------------------------------------------------------------------------------------- 桌面属性: 显示技术 光栅显示 分辨率 1920 x 1080 颜色位深 32 位 颜色位面数 1 字体分辨率 120 dpi Taskbar Button Combining When taskbar is full 像素宽/高 36 / 36 像素对角线 51 垂直刷新率 60 Hz 桌面背景 C:\Windows\web\wallpaper\Windows\img0.jpg 视觉效果: 滑动打开组合框 已禁用 Dark Mode 已禁用 阴影效果 已禁用 平面菜单效果 已启用 平滑屏幕字体边缘 已禁用 ClearType 已禁用 拖动时显示窗口内容 已禁用 渐变窗口标题栏颜色 已禁用 隐藏菜单快捷键 已禁用 即时追踪效果 已启用 消隐过长的图标名称 已启用 平滑滚动列表框 已禁用 滑动菜单效果 已禁用 淡出菜单效果 已启用 最大化和最小化时动态显示窗口 已禁用 在鼠标指针下显示阴影 已禁用 淡入淡出效果 已禁用 辅助声音提示 已禁用 Small Taskbar Buttons 已禁用 Taskbar Button Badges 已启用 Taskbar Locked 是 滑动工具条提示 已禁用 淡入淡出工具条提示 已启用 Windows Aero 已启用 Windsows Plus! 扩展样式 已禁用 --------[ 多显示器 ]---------------------------------------------------------------------------------------------------- \\.\DISPLAY1 是 (0,0) (1920,1080) --------[ 视频模式 ]---------------------------------------------------------------------------------------------------- 320 x 200 32 位 60 Hz 320 x 200 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 320 x 240 32 位 60 Hz 320 x 240 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 400 x 300 32 位 60 Hz 400 x 300 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 512 x 384 32 位 60 Hz 512 x 384 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 640 x 400 32 位 60 Hz 640 x 400 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 640 x 480 32 位 60 Hz 640 x 480 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 800 x 600 32 位 60 Hz 800 x 600 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1024 x 768 32 位 60 Hz 1024 x 768 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1152 x 864 32 位 60 Hz 1152 x 864 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1280 x 720 32 位 60 Hz 1280 x 720 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1280 x 768 32 位 60 Hz 1280 x 768 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1280 x 800 32 位 60 Hz 1280 x 800 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1280 x 960 32 位 60 Hz 1280 x 960 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1280 x 1024 32 位 60 Hz 1280 x 1024 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1360 x 768 32 位 60 Hz 1360 x 768 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1366 x 768 32 位 60 Hz 1366 x 768 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1400 x 1050 32 位 60 Hz 1400 x 1050 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1440 x 900 32 位 60 Hz 1440 x 900 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1600 x 900 32 位 60 Hz 1600 x 900 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1680 x 1050 32 位 60 Hz 1680 x 1050 32 位 60 Hz [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1920 x 1080 32 位 60 Hz --------[ OpenGL ]------------------------------------------------------------------------------------------------------ OpenGL 属性: 厂商 NVIDIA Corporation Renderer GeForce GTX 850M/PCIe/SSE2 版本 4.6.0 NVIDIA 457.09 着色语言版本 4.60 NVIDIA OpenGL DLL 10.0.19041.1(WinBuild.160101.0800) ICD 驱动程序 C:\Windows\System32\DriverStore\FileRepository\nvaci.inf_amd64_900cfe5f24c09a0b\nvoglv64.dll (27.21.14.5709 - nVIDIA ForceWare 457.09) Multitexture Texture Units 4 Occlusion Query Counter Bits 32 Sub-Pixel Precision 8 位 Max Viewport Size 16384 x 16384 Max Cube Map Texture Size 16384 x 16384 Max Rectangle Texture Size 16384 x 16384 Max 3D Texture Size 2048 x 2048 x 2048 Max Anisotropy 16 Max Clipping Planes 8 Max Display-List Nesting Level 64 Max Draw Buffers 8 Max Evaluator Order 8 Max General Register Combiners 8 Max Light Sources 8 Max Pixel Map Table Size 65536 Min / Max Program Texel Offset -8 / 7 Max Texture Array Layers 2048 Max Texture LOD Bias 15 Max Vertex Array Range Element Size 1048575 OpenGL 兼容: OpenGL 1.1 是 (100%) OpenGL 1.2 是 (100%) OpenGL 1.3 是 (100%) OpenGL 1.4 是 (100%) OpenGL 1.5 是 (100%) OpenGL 2.0 是 (100%) OpenGL 2.1 是 (100%) OpenGL 3.0 是 (100%) OpenGL 3.1 是 (100%) OpenGL 3.2 是 (100%) OpenGL 3.3 是 (100%) OpenGL 4.0 是 (100%) OpenGL 4.1 是 (100%) OpenGL 4.2 是 (100%) OpenGL 4.3 是 (100%) OpenGL 4.4 是 (100%) OpenGL 4.5 是 (100%) OpenGL 4.6 是 (100%) Max Stack Depth: Attribute Stack 16 Client Attribute Stack 16 Modelview Matrix Stack 32 Name Stack 128 Projection Matrix Stack 4 Texture Matrix Stack 10 Draw Range Elements: Max Index Count 1048576 Max Vertex Count 1048576 Extended Lighting Parameters: Max Shininess 128 Max Spot Exponent 128 Transform Feedback: Max Interleaved Components 128 Max Separate Attributes 4 Max Separate Components 4 Framebuffer Object: Max Color Attachments 8 Max Render Buffer Size 16384 x 16384 Imaging: Max Color Matrix Stack Depth 2 Max Convolution Width / Height 11 / 11 Vertex Shader: Max Uniform Vertex Components 4096 Max Varying Floats 124 Max Vertex Texture Image Units 32 Max Combined Texture Image Units 192 Geometry Shader: Max Geometry Texture Units 32 Max Varying Components 124 Max Geometry Varying Components 124 Max Vertex Varying Components 124 Max Geometry Uniform Components 2048 Max Geometry Output Vertices 1024 Max Geometry Total Output Components 1024 Fragment Shader: Max Uniform Fragment Components 4096 Vertex Program: Max Local Parameters 1024 Max Environment Parameters 256 Max Program Matrices 8 Max Program Matrix Stack Depth 1 Max Tracking Matrices 8 Max Tracking Matrix Stack Depth 1 Max Vertex Attributes 16 Max Instructions 65536 Max Native Instructions 65536 Max Temporaries 4096 Max Native Temporaries 4096 Max Parameters 1024 Max Native Parameters 1024 Max Attributes 16 Max Native Attributes 16 Max Address Registers 2 Max Native Address Registers 2 Fragment Program: Max Local Parameters 1024 Max Environment Parameters 256 Max Texture Coordinates 8 Max Texture Image Units 32 Max Instructions 65536 Max Native Instructions 65536 Max Temporaries 4096 Max Native Temporaries 4096 Max Parameters 1024 Max Native Parameters 1024 Max Attributes 16 Max Native Attributes 16 Max Address Registers 1 Max Native Address Registers 1 Max ALU Instructions 65536 Max Native ALU Instructions 65536 Max Texture Instructions 65536 Max Native Texture Instructions 65536 Max Texture Indirections 65536 Max Native Texture Indirections 65536 Max Execution Instructions 16777216 Max Call Stack Depth 32 Max If Statement Depth 1024 Max Loop Depth 1024 Max Loop Count 16777216 OpenGL 扩展: 总数/已支持 1091 / 388 GL_3DFX_multisample 不支持 GL_3DFX_tbuffer 不支持 GL_3DFX_texture_compression_FXT1 不支持 GL_3DL_direct_texture_access2 不支持 GL_3Dlabs_multisample_transparency_id 不支持 GL_3Dlabs_multisample_transparency_range 不支持 GL_AMD_blend_minmax_factor 不支持 GL_AMD_compressed_3DC_texture 不支持 GL_AMD_compressed_ATC_texture 不支持 GL_AMD_conservative_depth 不支持 GL_AMD_debug_output 不支持 GL_AMD_depth_clamp_separate 不支持 GL_AMD_draw_buffers_blend 不支持 GL_AMD_framebuffer_sample_positions 不支持 GL_AMD_gcn_shader 不支持 GL_AMD_gpu_shader_half_float 不支持 GL_AMD_gpu_shader_half_float_fetch 不支持 GL_AMD_gpu_shader_half_float2 不支持 GL_AMD_gpu_shader_int16 不支持 GL_AMD_gpu_shader_int64 不支持 GL_AMD_interleaved_elements 不支持 GL_AMD_multi_draw_indirect 支持 GL_AMD_name_gen_delete 不支持 GL_AMD_occlusion_query_event 不支持 GL_AMD_performance_monitor 不支持 GL_AMD_pinned_memory 不支持 GL_AMD_program_binary_Z400 不支持 GL_AMD_query_buffer_object 不支持 GL_AMD_sample_positions 不支持 GL_AMD_seamless_cubemap_per_texture 支持 GL_AMD_shader_atomic_counter_ops 不支持 GL_AMD_shader_stencil_export 不支持 GL_AMD_shader_stencil_value_export 不支持 GL_AMD_shader_trace 不支持 GL_AMD_shader_trinary_minmax 不支持 GL_AMD_sparse_texture 不支持 GL_AMD_sparse_texture_pool 不支持 GL_AMD_stencil_operation_extended 不支持 GL_AMD_texture_compression_dxt6 不支持 GL_AMD_texture_compression_dxt7 不支持 GL_AMD_texture_cube_map_array 不支持 GL_AMD_texture_texture4 不支持 GL_AMD_texture_tile_pool 不支持 GL_AMD_transform_feedback3_lines_triangles 不支持 GL_AMD_transform_feedback4 不支持 GL_AMD_vertex_shader_layer 不支持 GL_AMD_vertex_shader_tessellator 不支持 GL_AMD_vertex_shader_viewport_index 不支持 GL_AMDX_debug_output 不支持 GL_AMDX_name_gen_delete 不支持 GL_AMDX_random_access_target 不支持 GL_AMDX_vertex_shader_tessellator 不支持 GL_ANDROID_extension_pack_es31a 不支持 GL_ANGLE_depth_texture 不支持 GL_ANGLE_framebuffer_blit 不支持 GL_ANGLE_framebuffer_multisample 不支持 GL_ANGLE_instanced_arrays 不支持 GL_ANGLE_pack_reverse_row_order 不支持 GL_ANGLE_program_binary 不支持 GL_ANGLE_texture_compression_dxt1 不支持 GL_ANGLE_texture_compression_dxt3 不支持 GL_ANGLE_texture_compression_dxt5 不支持 GL_ANGLE_texture_usage 不支持 GL_ANGLE_translated_shader_source 不支持 GL_APPLE_aux_depth_stencil 不支持 GL_APPLE_client_storage 不支持 GL_APPLE_copy_texture_levels 不支持 GL_APPLE_element_array 不支持 GL_APPLE_fence 不支持 GL_APPLE_float_pixels 不支持 GL_APPLE_flush_buffer_range 不支持 GL_APPLE_flush_render 不支持 GL_APPLE_framebuffer_multisample 不支持 GL_APPLE_object_purgeable 不支持 GL_APPLE_packed_pixel 不支持 GL_APPLE_packed_pixels 不支持 GL_APPLE_pixel_buffer 不支持 GL_APPLE_rgb_422 不支持 GL_APPLE_row_bytes 不支持 GL_APPLE_specular_vector 不支持 GL_APPLE_sync 不支持 GL_APPLE_texture_2D_limited_npot 不支持 GL_APPLE_texture_format_BGRA8888 不支持 GL_APPLE_texture_max_level 不支持 GL_APPLE_texture_range 不支持 GL_APPLE_transform_hint 不支持 GL_APPLE_vertex_array_object 不支持 GL_APPLE_vertex_array_range 不支持 GL_APPLE_vertex_point_size 不支持 GL_APPLE_vertex_program_evaluators 不支持 GL_APPLE_ycbcr_422 不支持 GL_ARB_arrays_of_arrays 支持 GL_ARB_base_instance 支持 GL_ARB_bindless_texture 支持 GL_ARB_blend_func_extended 支持 GL_ARB_buffer_storage 支持 GL_ARB_cl_event 不支持 GL_ARB_clear_buffer_object 支持 GL_ARB_clear_texture 支持 GL_ARB_clip_control 支持 GL_ARB_color_buffer_float 支持 GL_ARB_compatibility 支持 GL_ARB_compressed_texture_pixel_storage 支持 GL_ARB_compute_shader 支持 GL_ARB_compute_variable_group_size 支持 GL_ARB_conditional_render_inverted 支持 GL_ARB_conservative_depth 支持 GL_ARB_context_flush_control 不支持 GL_ARB_copy_buffer 支持 GL_ARB_copy_image 支持 GL_ARB_cull_distance 支持 GL_ARB_debug_group 不支持 GL_ARB_debug_label 不支持 GL_ARB_debug_output 支持 GL_ARB_debug_output2 不支持 GL_ARB_depth_buffer_float 支持 GL_ARB_depth_clamp 支持 GL_ARB_depth_texture 支持 GL_ARB_derivative_control 支持 GL_ARB_direct_state_access 支持 GL_ARB_draw_buffers 支持 GL_ARB_draw_buffers_blend 支持 GL_ARB_draw_elements_base_vertex 支持 GL_ARB_draw_indirect 支持 GL_ARB_draw_instanced 支持 GL_ARB_enhanced_layouts 支持 GL_ARB_ES2_compatibility 支持 GL_ARB_ES3_1_compatibility 支持 GL_ARB_ES3_2_compatibility 支持 GL_ARB_ES3_compatibility 支持 GL_ARB_explicit_attrib_location 支持 GL_ARB_explicit_uniform_location 支持 GL_ARB_fragment_coord_conventions 支持 GL_ARB_fragment_layer_viewport 支持 GL_ARB_fragment_program 支持 GL_ARB_fragment_program_shadow 支持 GL_ARB_fragment_shader 支持 GL_ARB_fragment_shader_interlock 不支持 GL_ARB_framebuffer_no_attachments 支持 GL_ARB_framebuffer_object 支持 GL_ARB_framebuffer_sRGB 支持 GL_ARB_geometry_shader4 支持 GL_ARB_get_program_binary 支持 GL_ARB_get_texture_sub_image 支持 GL_ARB_gl_spirv 支持 GL_ARB_gpu_shader_fp64 支持 GL_ARB_gpu_shader_int64 支持 GL_ARB_gpu_shader5 支持 GL_ARB_half_float_pixel 支持 GL_ARB_half_float_vertex 支持 GL_ARB_imaging 支持 GL_ARB_indirect_parameters 支持 GL_ARB_instanced_arrays 支持 GL_ARB_internalformat_query 支持 GL_ARB_internalformat_query2 支持 GL_ARB_invalidate_subdata 支持 GL_ARB_make_current_read 不支持 GL_ARB_map_buffer_alignment 支持 GL_ARB_map_buffer_range 支持 GL_ARB_matrix_palette 不支持 GL_ARB_multi_bind 支持 GL_ARB_multi_draw_indirect 支持 GL_ARB_multisample 支持 GL_ARB_multitexture 支持 GL_ARB_occlusion_query 支持 GL_ARB_occlusion_query2 支持 GL_ARB_parallel_shader_compile 支持 GL_ARB_pipeline_statistics_query 支持 GL_ARB_pixel_buffer_object 支持 GL_ARB_point_parameters 支持 GL_ARB_point_sprite 支持 GL_ARB_polygon_offset_clamp 支持 GL_ARB_post_depth_coverage 不支持 GL_ARB_program_interface_query 支持 GL_ARB_provoking_vertex 支持 GL_ARB_query_buffer_object 支持 GL_ARB_robust_buffer_access_behavior 支持 GL_ARB_robustness 支持 GL_ARB_robustness_isolation 不支持 GL_ARB_sample_locations 不支持 GL_ARB_sample_shading 支持 GL_ARB_sampler_objects 支持 GL_ARB_seamless_cube_map 支持 GL_ARB_seamless_cubemap_per_texture 支持 GL_ARB_separate_shader_objects 支持 GL_ARB_shader_atomic_counter_ops 支持 GL_ARB_shader_atomic_counters 支持 GL_ARB_shader_ballot 支持 GL_ARB_shader_bit_encoding 支持 GL_ARB_shader_clock 支持 GL_ARB_shader_draw_parameters 支持 GL_ARB_shader_group_vote 支持 GL_ARB_shader_image_load_store 支持 GL_ARB_shader_image_size 支持 GL_ARB_shader_objects 支持 GL_ARB_shader_precision 支持 GL_ARB_shader_stencil_export 不支持 GL_ARB_shader_storage_buffer_object 支持 GL_ARB_shader_subroutine 支持 GL_ARB_shader_texture_image_samples 支持 GL_ARB_shader_texture_lod 支持 GL_ARB_shader_viewport_layer_array 不支持 GL_ARB_shading_language_100 支持 GL_ARB_shading_language_120 不支持 GL_ARB_shading_language_420pack 支持 GL_ARB_shading_language_include 支持 GL_ARB_shading_language_packing 支持 GL_ARB_shadow 支持 GL_ARB_shadow_ambient 不支持 GL_ARB_sparse_buffer 支持 GL_ARB_sparse_texture 支持 GL_ARB_sparse_texture_clamp 不支持 GL_ARB_sparse_texture2 不支持 GL_ARB_spirv_extensions 支持 GL_ARB_stencil_texturing 支持 GL_ARB_swap_buffers 不支持 GL_ARB_sync 支持 GL_ARB_tessellation_shader 支持 GL_ARB_texture_barrier 支持 GL_ARB_texture_border_clamp 支持 GL_ARB_texture_buffer_object 支持 GL_ARB_texture_buffer_object_rgb32 支持 GL_ARB_texture_buffer_range 支持 GL_ARB_texture_compression 支持 GL_ARB_texture_compression_bptc 支持 GL_ARB_texture_compression_rgtc 支持 GL_ARB_texture_compression_rtgc 不支持 GL_ARB_texture_cube_map 支持 GL_ARB_texture_cube_map_array 支持 GL_ARB_texture_env_add 支持 GL_ARB_texture_env_combine 支持 GL_ARB_texture_env_crossbar 支持 GL_ARB_texture_env_dot3 支持 GL_ARB_texture_filter_anisotropic 支持 GL_ARB_texture_filter_minmax 不支持 GL_ARB_texture_float 支持 GL_ARB_texture_gather 支持 GL_ARB_texture_mirror_clamp_to_edge 支持 GL_ARB_texture_mirrored_repeat 支持 GL_ARB_texture_multisample 支持 GL_ARB_texture_non_power_of_two 支持 GL_ARB_texture_query_levels 支持 GL_ARB_texture_query_lod 支持 GL_ARB_texture_rectangle 支持 GL_ARB_texture_rg 支持 GL_ARB_texture_rgb10_a2ui 支持 GL_ARB_texture_snorm 不支持 GL_ARB_texture_stencil8 支持 GL_ARB_texture_storage 支持 GL_ARB_texture_storage_multisample 支持 GL_ARB_texture_swizzle 支持 GL_ARB_texture_view 支持 GL_ARB_timer_query 支持 GL_ARB_transform_feedback_instanced 支持 GL_ARB_transform_feedback_overflow_query 支持 GL_ARB_transform_feedback2 支持 GL_ARB_transform_feedback3 支持 GL_ARB_transpose_matrix 支持 GL_ARB_uber_buffers 不支持 GL_ARB_uber_mem_image 不支持 GL_ARB_uber_vertex_array 不支持 GL_ARB_uniform_buffer_object 支持 GL_ARB_vertex_array_bgra 支持 GL_ARB_vertex_array_object 支持 GL_ARB_vertex_attrib_64bit 支持 GL_ARB_vertex_attrib_binding 支持 GL_ARB_vertex_blend 不支持 GL_ARB_vertex_buffer_object 支持 GL_ARB_vertex_program 支持 GL_ARB_vertex_shader 支持 GL_ARB_vertex_type_10f_11f_11f_rev 支持 GL_ARB_vertex_type_2_10_10_10_rev 支持 GL_ARB_viewport_array 支持 GL_ARB_window_pos 支持 GL_ARM_mali_program_binary 不支持 GL_ARM_mali_shader_binary 不支持 GL_ARM_rgba8 不支持 GL_ARM_shader_framebuffer_fetch 不支持 GL_ARM_shader_framebuffer_fetch_depth_stencil 不支持 GL_ATI_array_rev_comps_in_4_bytes 不支持 GL_ATI_blend_equation_separate 不支持 GL_ATI_blend_weighted_minmax 不支持 GL_ATI_draw_buffers 支持 GL_ATI_element_array 不支持 GL_ATI_envmap_bumpmap 不支持 GL_ATI_fragment_shader 不支持 GL_ATI_lock_texture 不支持 GL_ATI_map_object_buffer 不支持 GL_ATI_meminfo 不支持 GL_ATI_pixel_format_float 不支持 GL_ATI_pn_triangles 不支持 GL_ATI_point_cull_mode 不支持 GL_ATI_separate_stencil 不支持 GL_ATI_shader_texture_lod 不支持 GL_ATI_text_fragment_shader 不支持 GL_ATI_texture_compression_3dc 不支持 GL_ATI_texture_env_combine3 不支持 GL_ATI_texture_float 支持 GL_ATI_texture_mirror_once 支持 GL_ATI_vertex_array_object 不支持 GL_ATI_vertex_attrib_array_object 不支持 GL_ATI_vertex_blend 不支持 GL_ATI_vertex_shader 不支持 GL_ATI_vertex_streams 不支持 GL_ATIX_pn_triangles 不支持 GL_ATIX_texture_env_combine3 不支持 GL_ATIX_texture_env_route 不支持 GL_ATIX_vertex_shader_output_point_size 不支持 GL_Autodesk_facet_normal 不支持 GL_Autodesk_valid_back_buffer_hint 不支持 GL_CR_bounding_box 不支持 GL_CR_cursor_position 不支持 GL_CR_head_spu_name 不支持 GL_CR_performance_info 不支持 GL_CR_print_string 不支持 GL_CR_readback_barrier_size 不支持 GL_CR_saveframe 不支持 GL_CR_server_id_sharing 不支持 GL_CR_server_matrix 不支持 GL_CR_state_parameter 不支持 GL_CR_synchronization 不支持 GL_CR_tile_info 不支持 GL_CR_tilesort_info 不支持 GL_CR_window_size 不支持 GL_DIMD_YUV 不支持 GL_DMP_shader_binary 不支持 GL_EXT_422_pixels 不支持 GL_EXT_abgr 支持 GL_EXT_bgra 支持 GL_EXT_bindable_uniform 支持 GL_EXT_blend_color 支持 GL_EXT_blend_equation_separate 支持 GL_EXT_blend_func_separate 支持 GL_EXT_blend_logic_op 不支持 GL_EXT_blend_minmax 支持 GL_EXT_blend_subtract 支持 GL_EXT_Cg_shader 支持 GL_EXT_clip_control 不支持 GL_EXT_clip_volume_hint 不支持 GL_EXT_cmyka 不支持 GL_EXT_color_buffer_float 不支持 GL_EXT_color_buffer_half_float 不支持 GL_EXT_color_matrix 不支持 GL_EXT_color_subtable 不支持 GL_EXT_color_table 不支持 GL_EXT_compiled_vertex_array 支持 GL_EXT_convolution 不支持 GL_EXT_convolution_border_modes 不支持 GL_EXT_coordinate_frame 不支持 GL_EXT_copy_buffer 不支持 GL_EXT_copy_image 不支持 GL_EXT_copy_texture 不支持 GL_EXT_cull_vertex 不支持 GL_EXT_debug_label 不支持 GL_EXT_debug_marker 不支持 GL_EXT_depth_bounds_test 支持 GL_EXT_depth_buffer_float 不支持 GL_EXT_direct_state_access 支持 GL_EXT_discard_framebuffer 不支持 GL_EXT_disjoint_timer_query 不支持 GL_EXT_draw_buffers 不支持 GL_EXT_draw_buffers_indexed 不支持 GL_EXT_draw_buffers2 支持 GL_EXT_draw_indirect 不支持 GL_EXT_draw_instanced 支持 GL_EXT_draw_range_elements 支持 GL_EXT_fog_coord 支持 GL_EXT_fog_function 不支持 GL_EXT_fog_offset 不支持 GL_EXT_frag_depth 不支持 GL_EXT_fragment_lighting 不支持 GL_EXT_framebuffer_blit 支持 GL_EXT_framebuffer_multisample 支持 GL_EXT_framebuffer_multisample_blit_scaled 支持 GL_EXT_framebuffer_object 支持 GL_EXT_framebuffer_sRGB 支持 GL_EXT_generate_mipmap 不支持 GL_EXT_geometry_point_size 不支持 GL_EXT_geometry_shader 不支持 GL_EXT_geometry_shader4 支持 GL_EXT_glx_stereo_tree 不支持 GL_EXT_gpu_program_parameters 支持 GL_EXT_gpu_shader_fp64 不支持 GL_EXT_gpu_shader4 支持 GL_EXT_gpu_shader5 不支持 GL_EXT_histogram 不支持 GL_EXT_import_sync_object 支持 GL_EXT_index_array_formats 不支持 GL_EXT_index_func 不支持 GL_EXT_index_material 不支持 GL_EXT_index_texture 不支持 GL_EXT_instanced_arrays 不支持 GL_EXT_interlace 不支持 GL_EXT_light_texture 不支持 GL_EXT_map_buffer_range 不支持 GL_EXT_memory_object 支持 GL_EXT_memory_object_win32 支持 GL_EXT_misc_attribute 不支持 GL_EXT_multi_draw_arrays 支持 GL_EXT_multisample 不支持 GL_EXT_multisampled_render_to_texture 不支持 GL_EXT_multiview_draw_buffers 不支持 GL_EXT_multiview_texture_multisample 支持 GL_EXT_multiview_timer_query 支持 GL_EXT_occlusion_query_boolean 不支持 GL_EXT_packed_depth_stencil 支持 GL_EXT_packed_float 支持 GL_EXT_packed_pixels 支持 GL_EXT_packed_pixels_12 不支持 GL_EXT_paletted_texture 不支持 GL_EXT_pixel_buffer_object 支持 GL_EXT_pixel_format 不支持 GL_EXT_pixel_texture 不支持 GL_EXT_pixel_transform 不支持 GL_EXT_pixel_transform_color_table 不支持 GL_EXT_point_parameters 支持 GL_EXT_polygon_offset 不支持 GL_EXT_polygon_offset_clamp 支持 GL_EXT_post_depth_coverage 不支持 GL_EXT_primitive_bounding_box 不支持 GL_EXT_provoking_vertex 支持 GL_EXT_pvrtc_sRGB 不支持 GL_EXT_raster_multisample 不支持 GL_EXT_read_format_bgra 不支持 GL_EXT_rescale_normal 支持 GL_EXT_robustness 不支持 GL_EXT_scene_marker 不支持 GL_EXT_secondary_color 支持 GL_EXT_semaphore 支持 GL_EXT_semaphore_win32 支持 GL_EXT_separate_shader_objects 支持 GL_EXT_separate_specular_color 支持 GL_EXT_shader_atomic_counters 不支持 GL_EXT_shader_framebuffer_fetch 不支持 GL_EXT_shader_image_load_formatted 支持 GL_EXT_shader_image_load_store 支持 GL_EXT_shader_implicit_conversions 不支持 GL_EXT_shader_integer_mix 支持 GL_EXT_shader_io_blocks 不支持 GL_EXT_shader_pixel_local_storage 不支持 GL_EXT_shader_subroutine 不支持 GL_EXT_shader_texture_lod 不支持 GL_EXT_shadow_funcs 支持 GL_EXT_shadow_samplers 不支持 GL_EXT_shared_texture_palette 不支持 GL_EXT_sparse_texture2 不支持 GL_EXT_sRGB 不支持 GL_EXT_sRGB_write_control 不支持 GL_EXT_static_vertex_array 不支持 GL_EXT_stencil_clear_tag 不支持 GL_EXT_stencil_two_side 支持 GL_EXT_stencil_wrap 支持 GL_EXT_subtexture 不支持 GL_EXT_swap_control 不支持 GL_EXT_tessellation_point_size 不支持 GL_EXT_tessellation_shader 不支持 GL_EXT_texgen_reflection 不支持 GL_EXT_texture 不支持 GL_EXT_texture_array 支持 GL_EXT_texture_border_clamp 不支持 GL_EXT_texture_buffer 不支持 GL_EXT_texture_buffer_object 支持 GL_EXT_texture_buffer_object_rgb32 不支持 GL_EXT_texture_color_table 不支持 GL_EXT_texture_compression_bptc 不支持 GL_EXT_texture_compression_dxt1 支持 GL_EXT_texture_compression_latc 支持 GL_EXT_texture_compression_rgtc 支持 GL_EXT_texture_compression_s3tc 支持 GL_EXT_texture_cube_map 支持 GL_EXT_texture_cube_map_array 不支持 GL_EXT_texture_edge_clamp 支持 GL_EXT_texture_env 不支持 GL_EXT_texture_env_add 支持 GL_EXT_texture_env_combine 支持 GL_EXT_texture_env_dot3 支持 GL_EXT_texture_filter_anisotropic 支持 GL_EXT_texture_filter_minmax 不支持 GL_EXT_texture_format_BGRA8888 不支持 GL_EXT_texture_integer 支持 GL_EXT_texture_lod 支持 GL_EXT_texture_lod_bias 支持 GL_EXT_texture_mirror_clamp 支持 GL_EXT_texture_object 支持 GL_EXT_texture_perturb_normal 不支持 GL_EXT_texture_rectangle 不支持 GL_EXT_texture_rg 不支持 GL_EXT_texture_shadow_lod 支持 GL_EXT_texture_shared_exponent 支持 GL_EXT_texture_snorm 不支持 GL_EXT_texture_sRGB 支持 GL_EXT_texture_sRGB_decode 支持 GL_EXT_texture_sRGB_R8 支持 GL_EXT_texture_storage 支持 GL_EXT_texture_swizzle 支持 GL_EXT_texture_type_2_10_10_10_REV 不支持 GL_EXT_texture_view 不支持 GL_EXT_texture3D 支持 GL_EXT_texture4D 不支持 GL_EXT_timer_query 支持 GL_EXT_transform_feedback 不支持 GL_EXT_transform_feedback2 支持 GL_EXT_transform_feedback3 不支持 GL_EXT_unpack_subimage 不支持 GL_EXT_vertex_array 支持 GL_EXT_vertex_array_bgra 支持 GL_EXT_vertex_array_set 不支持 GL_EXT_vertex_array_setXXX 不支持 GL_EXT_vertex_attrib_64bit 支持 GL_EXT_vertex_shader 不支持 GL_EXT_vertex_weighting 不支持 GL_EXT_win32_keyed_mutex 支持 GL_EXT_window_rectangles 支持 GL_EXT_x11_sync_object 不支持 GL_EXTX_framebuffer_mixed_formats 支持 GL_EXTX_packed_depth_stencil 不支持 GL_FGL_lock_texture 不支持 GL_FJ_shader_binary_GCCSO 不支持 GL_GL2_geometry_shader 不支持 GL_GREMEDY_frame_terminator 不支持 GL_GREMEDY_string_marker 不支持 GL_HP_convolution_border_modes 不支持 GL_HP_image_transform 不支持 GL_HP_occlusion_test 不支持 GL_HP_texture_lighting 不支持 GL_I3D_argb 不支持 GL_I3D_color_clamp 不支持 GL_I3D_interlace_read 不支持 GL_IBM_clip_check 不支持 GL_IBM_cull_vertex 不支持 GL_IBM_load_named_matrix 不支持 GL_IBM_multi_draw_arrays 不支持 GL_IBM_multimode_draw_arrays 不支持 GL_IBM_occlusion_cull 不支持 GL_IBM_pixel_filter_hint 不支持 GL_IBM_rasterpos_clip 支持 GL_IBM_rescale_normal 不支持 GL_IBM_static_data 不支持 GL_IBM_texture_clamp_nodraw 不支持 GL_IBM_texture_mirrored_repeat 支持 GL_IBM_vertex_array_lists 不支持 GL_IBM_YCbCr 不支持 GL_IMG_multisampled_render_to_texture 不支持 GL_IMG_program_binary 不支持 GL_IMG_read_format 不支持 GL_IMG_sgx_binary 不支持 GL_IMG_shader_binary 不支持 GL_IMG_texture_compression_pvrtc 不支持 GL_IMG_texture_compression_pvrtc2 不支持 GL_IMG_texture_env_enhanced_fixed_function 不支持 GL_IMG_texture_format_BGRA8888 不支持 GL_IMG_user_clip_plane 不支持 GL_IMG_vertex_program 不支持 GL_INGR_blend_func_separate 不支持 GL_INGR_color_clamp 不支持 GL_INGR_interlace_read 不支持 GL_INGR_multiple_palette 不支持 GL_INTEL_coarse_fragment_shader 不支持 GL_INTEL_compute_shader_lane_shift 不支持 GL_INTEL_conservative_rasterization 不支持 GL_INTEL_fragment_shader_ordering 不支持 GL_INTEL_fragment_shader_span_sharing 不支持 GL_INTEL_framebuffer_CMAA 不支持 GL_INTEL_image_serialize 不支持 GL_INTEL_map_texture 不支持 GL_INTEL_multi_rate_fragment_shader 不支持 GL_INTEL_parallel_arrays 不支持 GL_INTEL_performance_queries 不支持 GL_INTEL_performance_query 不支持 GL_INTEL_texture_scissor 不支持 GL_KHR_blend_equation_advanced 支持 GL_KHR_blend_equation_advanced_coherent 支持 GL_KHR_context_flush_control 支持 GL_KHR_debug 支持 GL_KHR_no_error 支持 GL_KHR_parallel_shader_compile 支持 GL_KHR_robust_buffer_access_behavior 支持 GL_KHR_robustness 支持 GL_KHR_shader_subgroup 支持 GL_KHR_shader_subgroup_arithmetic 不支持 GL_KHR_shader_subgroup_ballot 不支持 GL_KHR_shader_subgroup_basic 不支持 GL_KHR_shader_subgroup_clustered 不支持 GL_KHR_shader_subgroup_quad 不支持 GL_KHR_shader_subgroup_shuffle 不支持 GL_KHR_shader_subgroup_shuffle_relative 不支持 GL_KHR_shader_subgroup_vote 不支持 GL_KHR_texture_compression_astc_hdr 不支持 GL_KHR_texture_compression_astc_ldr 不支持 GL_KHR_vulkan_glsl 不支持 GL_KTX_buffer_region 支持 GL_MESA_pack_invert 不支持 GL_MESA_program_debug 不支持 GL_MESA_resize_buffers 不支持 GL_MESA_texture_array 不支持 GL_MESA_texture_signed_rgba 不支持 GL_MESA_window_pos 不支持 GL_MESA_ycbcr_texture 不支持 GL_MESAX_texture_float 不支持 GL_MESAX_texture_stack 不支持 GL_MTX_fragment_shader 不支持 GL_MTX_precision_dpi 不支持 GL_NV_3dvision_settings 不支持 GL_NV_alpha_test 不支持 GL_NV_alpha_to_coverage_dither_control 支持 GL_NV_bgr 不支持 GL_NV_bindless_multi_draw_indirect 支持 GL_NV_bindless_multi_draw_indirect_count 支持 GL_NV_bindless_texture 支持 GL_NV_blend_equation_advanced 支持 GL_NV_blend_equation_advanced_coherent 支持 GL_NV_blend_minmax 不支持 GL_NV_blend_minmax_factor 支持 GL_NV_blend_square 支持 GL_NV_centroid_sample 不支持 GL_NV_clip_space_w_scaling 不支持 GL_NV_command_list 支持 GL_NV_complex_primitives 不支持 GL_NV_compute_program5 支持 GL_NV_compute_shader_derivatives 不支持 GL_NV_conditional_render 支持 GL_NV_conservative_raster 不支持 GL_NV_conservative_raster_dilate 不支持 GL_NV_conservative_raster_pre_snap 不支持 GL_NV_conservative_raster_pre_snap_triangles 不支持 GL_NV_conservative_raster_underestimation 不支持 GL_NV_copy_buffer 不支持 GL_NV_copy_depth_to_color 支持 GL_NV_copy_image 支持 GL_NV_coverage_sample 不支持 GL_NV_deep_texture3D 不支持 GL_NV_depth_buffer_float 支持 GL_NV_depth_clamp 支持 GL_NV_depth_nonlinear 不支持 GL_NV_depth_range_unclamped 不支持 GL_NV_draw_buffers 不支持 GL_NV_draw_instanced 不支持 GL_NV_draw_texture 支持 GL_NV_draw_vulkan_image 支持 GL_NV_EGL_stream_consumer_external 不支持 GL_NV_ES1_1_compatibility 支持 GL_NV_ES3_1_compatibility 支持 GL_NV_evaluators 不支持 GL_NV_explicit_attrib_location 不支持 GL_NV_explicit_multisample 支持 GL_NV_fbo_color_attachments 不支持 GL_NV_feature_query 支持 GL_NV_fence 支持 GL_NV_fill_rectangle 不支持 GL_NV_float_buffer 支持 GL_NV_fog_distance 支持 GL_NV_fragdepth 不支持 GL_NV_fragment_coverage_to_color 不支持 GL_NV_fragment_program 支持 GL_NV_fragment_program_option 支持 GL_NV_fragment_program2 支持 GL_NV_fragment_program4 不支持 GL_NV_fragment_shader_barycentric 不支持 GL_NV_fragment_shader_interlock 不支持 GL_NV_framebuffer_blit 不支持 GL_NV_framebuffer_mixed_samples 不支持 GL_NV_framebuffer_multisample 不支持 GL_NV_framebuffer_multisample_coverage 支持 GL_NV_framebuffer_multisample_ex 不支持 GL_NV_generate_mipmap_sRGB 不支持 GL_NV_geometry_program4 不支持 GL_NV_geometry_shader_passthrough 不支持 GL_NV_geometry_shader4 支持 GL_NV_gpu_multicast 支持 GL_NV_gpu_program_fp64 支持 GL_NV_gpu_program4 支持 GL_NV_gpu_program4_1 支持 GL_NV_gpu_program5 支持 GL_NV_gpu_program5_mem_extended 支持 GL_NV_gpu_shader5 支持 GL_NV_half_float 支持 GL_NV_instanced_arrays 不支持 GL_NV_internalformat_sample_query 支持 GL_NV_light_max_exponent 支持 GL_NV_memory_attachment 不支持 GL_NV_mesh_shader 不支持 GL_NV_multisample_coverage 支持 GL_NV_multisample_filter_hint 支持 GL_NV_non_square_matrices 不支持 GL_NV_occlusion_query 支持 GL_NV_pack_subimage 不支持 GL_NV_packed_depth_stencil 支持 GL_NV_packed_float 不支持 GL_NV_packed_float_linear 不支持 GL_NV_parameter_buffer_object 支持 GL_NV_parameter_buffer_object2 支持 GL_NV_path_rendering 支持 GL_NV_path_rendering_shared_edge 不支持 GL_NV_pixel_buffer_object 不支持 GL_NV_pixel_data_range 支持 GL_NV_platform_binary 不支持 GL_NV_point_sprite 支持 GL_NV_present_video 不支持 GL_NV_primitive_restart 支持 GL_NV_query_resource 支持 GL_NV_query_resource_tag 支持 GL_NV_read_buffer 不支持 GL_NV_read_buffer_front 不支持 GL_NV_read_depth 不支持 GL_NV_read_depth_stencil 不支持 GL_NV_read_stencil 不支持 GL_NV_register_combiners 支持 GL_NV_register_combiners2 支持 GL_NV_representative_fragment_test 不支持 GL_NV_robustness_video_memory_purge 不支持 GL_NV_sample_locations 不支持 GL_NV_sample_mask_override_coverage 不支持 GL_NV_scissor_exclusive 不支持 GL_NV_shader_atomic_counters 支持 GL_NV_shader_atomic_float 支持 GL_NV_shader_atomic_float64 不支持 GL_NV_shader_atomic_fp16_vector 不支持 GL_NV_shader_atomic_int64 支持 GL_NV_shader_buffer_load 支持 GL_NV_shader_buffer_store 不支持 GL_NV_shader_storage_buffer_object 支持 GL_NV_shader_subgroup_partitioned 支持 GL_NV_shader_texture_footprint 不支持 GL_NV_shader_thread_group 支持 GL_NV_shader_thread_shuffle 支持 GL_NV_shading_rate_image 不支持 GL_NV_shadow_samplers_array 不支持 GL_NV_shadow_samplers_cube 不支持 GL_NV_sRGB_formats 不支持 GL_NV_stereo_view_rendering 不支持 GL_NV_tessellation_program5 不支持 GL_NV_texgen_emboss 不支持 GL_NV_texgen_reflection 支持 GL_NV_texture_array 不支持 GL_NV_texture_barrier 支持 GL_NV_texture_border_clamp 不支持 GL_NV_texture_compression_latc 不支持 GL_NV_texture_compression_s3tc 不支持 GL_NV_texture_compression_s3tc_update 不支持 GL_NV_texture_compression_vtc 支持 GL_NV_texture_env_combine4 支持 GL_NV_texture_expand_normal 不支持 GL_NV_texture_lod_clamp 不支持 GL_NV_texture_multisample 支持 GL_NV_texture_npot_2D_mipmap 不支持 GL_NV_texture_rectangle 支持 GL_NV_texture_rectangle_compressed 支持 GL_NV_texture_shader 支持 GL_NV_texture_shader2 支持 GL_NV_texture_shader3 支持 GL_NV_timer_query 不支持 GL_NV_transform_feedback 支持 GL_NV_transform_feedback2 支持 GL_NV_uniform_buffer_unified_memory 支持 GL_NV_vdpau_interop 不支持 GL_NV_vertex_array_range 支持 GL_NV_vertex_array_range2 支持 GL_NV_vertex_attrib_64bit 不支持 GL_NV_vertex_attrib_integer_64bit 支持 GL_NV_vertex_buffer_unified_memory 支持 GL_NV_vertex_program 支持 GL_NV_vertex_program1_1 支持 GL_NV_vertex_program2 支持 GL_NV_vertex_program2_option 支持 GL_NV_vertex_program3 支持 GL_NV_vertex_program4 不支持 GL_NV_video_capture 不支持 GL_NV_viewport_array2 不支持 GL_NV_viewport_swizzle 不支持 GL_NVX_blend_equation_advanced_multi_draw_buffers 不支持 GL_NVX_conditional_render 支持 GL_NVX_flush_hold 不支持 GL_NVX_gpu_memory_info 支持 GL_NVX_gpu_multicast2 支持 GL_NVX_instanced_arrays 不支持 GL_NVX_linked_gpu_multicast 支持 GL_NVX_multigpu_info 支持 GL_NVX_nvenc_interop 支持 GL_NVX_progress_fence 支持 GL_NVX_shader_thread_group 不支持 GL_NVX_shader_thread_shuffle 不支持 GL_NVX_shared_sync_object 不支持 GL_NVX_sysmem_buffer 不支持 GL_NVX_ycrcb 不支持 GL_OES_blend_equation_separate 不支持 GL_OES_blend_func_separate 不支持 GL_OES_blend_subtract 不支持 GL_OES_byte_coordinates 不支持 GL_OES_compressed_EAC_R11_signed_texture 不支持 GL_OES_compressed_EAC_R11_unsigned_texture 不支持 GL_OES_compressed_EAC_RG11_signed_texture 不支持 GL_OES_compressed_EAC_RG11_unsigned_texture 不支持 GL_OES_compressed_ETC1_RGB8_texture 不支持 GL_OES_compressed_ETC2_punchthroughA_RGBA8_texture不支持 GL_OES_compressed_ETC2_punchthroughA_sRGB8_alpha_texture不支持 GL_OES_compressed_ETC2_RGB8_texture 不支持 GL_OES_compressed_ETC2_RGBA8_texture 不支持 GL_OES_compressed_ETC2_sRGB8_alpha8_texture 不支持 GL_OES_compressed_ETC2_sRGB8_texture 不支持 GL_OES_compressed_paletted_texture 不支持 GL_OES_conditional_query 不支持 GL_OES_depth_texture 不支持 GL_OES_depth_texture_cube_map 不支持 GL_OES_depth24 不支持 GL_OES_depth32 不支持 GL_OES_draw_texture 不支持 GL_OES_EGL_image 不支持 GL_OES_EGL_image_external 不支持 GL_OES_EGL_sync 不支持 GL_OES_element_index_uint 不支持 GL_OES_extended_matrix_palette 不支持 GL_OES_fbo_render_mipmap 不支持 GL_OES_fixed_point 不支持 GL_OES_fragment_precision_high 不支持 GL_OES_framebuffer_object 不支持 GL_OES_get_program_binary 不支持 GL_OES_mapbuffer 不支持 GL_OES_matrix_get 不支持 GL_OES_matrix_palette 不支持 GL_OES_packed_depth_stencil 不支持 GL_OES_point_size_array 不支持 GL_OES_point_sprite 不支持 GL_OES_query_matrix 不支持 GL_OES_read_format 不支持 GL_OES_required_internalformat 不支持 GL_OES_rgb8_rgba8 不支持 GL_OES_sample_shading 不支持 GL_OES_sample_variables 不支持 GL_OES_shader_image_atomic 不支持 GL_OES_shader_multisample_interpolation 不支持 GL_OES_single_precision 不支持 GL_OES_standard_derivatives 不支持 GL_OES_stencil_wrap 不支持 GL_OES_stencil1 不支持 GL_OES_stencil4 不支持 GL_OES_stencil8 不支持 GL_OES_surfaceless_context 不支持 GL_OES_texture_3D 不支持 GL_OES_texture_compression_astc 不支持 GL_OES_texture_cube_map 不支持 GL_OES_texture_env_crossbar 不支持 GL_OES_texture_float 不支持 GL_OES_texture_float_linear 不支持 GL_OES_texture_half_float 不支持 GL_OES_texture_half_float_linear 不支持 GL_OES_texture_mirrored_repeat 不支持 GL_OES_texture_npot 不支持 GL_OES_texture_stencil8 不支持 GL_OES_texture_storage_multisample_2d_array 不支持 GL_OES_vertex_array_object 不支持 GL_OES_vertex_half_float 不支持 GL_OES_vertex_type_10_10_10_2 不支持 GL_OML_interlace 不支持 GL_OML_resample 不支持 GL_OML_subsample 不支持 GL_OVR_multiview 支持 GL_OVR_multiview2 支持 GL_PGI_misc_hints 不支持 GL_PGI_vertex_hints 不支持 GL_QCOM_alpha_test 不支持 GL_QCOM_binning_control 不支持 GL_QCOM_driver_control 不支持 GL_QCOM_extended_get 不支持 GL_QCOM_extended_get2 不支持 GL_QCOM_perfmon_global_mode 不支持 GL_QCOM_tiled_rendering 不支持 GL_QCOM_writeonly_rendering 不支持 GL_REND_screen_coordinates 不支持 GL_S3_performance_analyzer 不支持 GL_S3_s3tc 支持 GL_S3_texture_float_linear 不支持 GL_S3_texture_half_float_linear 不支持 GL_SGI_color_matrix 不支持 GL_SGI_color_table 不支持 GL_SGI_compiled_vertex_array 不支持 GL_SGI_cull_vertex 不支持 GL_SGI_index_array_formats 不支持 GL_SGI_index_func 不支持 GL_SGI_index_material 不支持 GL_SGI_index_texture 不支持 GL_SGI_make_current_read 不支持 GL_SGI_texture_add_env 不支持 GL_SGI_texture_color_table 不支持 GL_SGI_texture_edge_clamp 不支持 GL_SGI_texture_lod 不支持 GL_SGIS_color_range 不支持 GL_SGIS_detail_texture 不支持 GL_SGIS_fog_function 不支持 GL_SGIS_generate_mipmap 支持 GL_SGIS_multisample 不支持 GL_SGIS_multitexture 不支持 GL_SGIS_pixel_texture 不支持 GL_SGIS_point_line_texgen 不支持 GL_SGIS_sharpen_texture 不支持 GL_SGIS_texture_border_clamp 不支持 GL_SGIS_texture_color_mask 不支持 GL_SGIS_texture_edge_clamp 不支持 GL_SGIS_texture_filter4 不支持 GL_SGIS_texture_lod 支持 GL_SGIS_texture_select 不支持 GL_SGIS_texture4D 不支持 GL_SGIX_async 不支持 GL_SGIX_async_histogram 不支持 GL_SGIX_async_pixel 不支持 GL_SGIX_blend_alpha_minmax 不支持 GL_SGIX_clipmap 不支持 GL_SGIX_convolution_accuracy 不支持 GL_SGIX_depth_pass_instrument 不支持 GL_SGIX_depth_texture 支持 GL_SGIX_flush_raster 不支持 GL_SGIX_fog_offset 不支持 GL_SGIX_fog_texture 不支持 GL_SGIX_fragment_specular_lighting 不支持 GL_SGIX_framezoom 不支持 GL_SGIX_instruments 不支持 GL_SGIX_interlace 不支持 GL_SGIX_ir_instrument1 不支持 GL_SGIX_list_priority 不支持 GL_SGIX_pbuffer 不支持 GL_SGIX_pixel_texture 不支持 GL_SGIX_pixel_texture_bits 不支持 GL_SGIX_reference_plane 不支持 GL_SGIX_resample 不支持 GL_SGIX_shadow 支持 GL_SGIX_shadow_ambient 不支持 GL_SGIX_sprite 不支持 GL_SGIX_subsample 不支持 GL_SGIX_tag_sample_buffer 不支持 GL_SGIX_texture_add_env 不支持 GL_SGIX_texture_coordinate_clamp 不支持 GL_SGIX_texture_lod_bias 不支持 GL_SGIX_texture_multi_buffer 不支持 GL_SGIX_texture_range 不支持 GL_SGIX_texture_scale_bias 不支持 GL_SGIX_vertex_preclip 不支持 GL_SGIX_vertex_preclip_hint 不支持 GL_SGIX_ycrcb 不支持 GL_SGIX_ycrcb_subsample 不支持 GL_SUN_convolution_border_modes 不支持 GL_SUN_global_alpha 不支持 GL_SUN_mesh_array 不支持 GL_SUN_multi_draw_arrays 不支持 GL_SUN_read_video_pixels 不支持 GL_SUN_slice_accum 支持 GL_SUN_triangle_list 不支持 GL_SUN_vertex 不支持 GL_SUNX_constant_data 不支持 GL_VIV_shader_binary 不支持 GL_WGL_ARB_extensions_string 不支持 GL_WGL_EXT_extensions_string 不支持 GL_WGL_EXT_swap_control 不支持 GL_WIN_phong_shading 不支持 GL_WIN_specular_fog 不支持 GL_WIN_swap_hint 支持 GLU_EXT_nurbs_tessellator 不支持 GLU_EXT_object_space_tess 不支持 GLU_SGI_filter4_parameters 不支持 GLX_AMD_gpu_association 不支持 GLX_ARB_create_context 不支持 GLX_ARB_create_context_no_error 不支持 GLX_ARB_create_context_profile 不支持 GLX_ARB_create_context_robustness 不支持 GLX_ARB_fbconfig_float 不支持 GLX_ARB_framebuffer_sRGB 不支持 GLX_ARB_get_proc_address 不支持 GLX_ARB_multisample 不支持 GLX_ARB_robustness_application_isolation 不支持 GLX_ARB_robustness_share_group_isolation 不支持 GLX_ARB_vertex_buffer_object 不支持 GLX_EXT_buffer_age 不支持 GLX_EXT_create_context_es_profile 不支持 GLX_EXT_create_context_es2_profile 不支持 GLX_EXT_fbconfig_packed_float 不支持 GLX_EXT_framebuffer_sRGB 不支持 GLX_EXT_import_context 不支持 GLX_EXT_scene_marker 不支持 GLX_EXT_swap_control 不支持 GLX_EXT_swap_control_tear 不支持 GLX_EXT_texture_from_pixmap 不支持 GLX_EXT_visual_info 不支持 GLX_EXT_visual_rating 不支持 GLX_INTEL_swap_event 不支持 GLX_MESA_agp_offset 不支持 GLX_MESA_copy_sub_buffer 不支持 GLX_MESA_multithread_makecurrent 不支持 GLX_MESA_pixmap_colormap 不支持 GLX_MESA_query_renderer 不支持 GLX_MESA_release_buffers 不支持 GLX_MESA_set_3dfx_mode 不支持 GLX_MESA_swap_control 不支持 GLX_NV_copy_image 不支持 GLX_NV_delay_before_swap 不支持 GLX_NV_float_buffer 不支持 GLX_NV_multisample_coverage 不支持 GLX_NV_present_video 不支持 GLX_NV_swap_group 不支持 GLX_NV_video_capture 不支持 GLX_NV_video_out 不支持 GLX_NV_video_output 不支持 GLX_OML_interlace 不支持 GLX_OML_swap_method 不支持 GLX_OML_sync_control 不支持 GLX_SGI_cushion 不支持 GLX_SGI_make_current_read 不支持 GLX_SGI_swap_control 不支持 GLX_SGI_video_sync 不支持 GLX_SGIS_blended_overlay 不支持 GLX_SGIS_color_range 不支持 GLX_SGIS_multisample 不支持 GLX_SGIX_dm_buffer 不支持 GLX_SGIX_fbconfig 不支持 GLX_SGIX_hyperpipe 不支持 GLX_SGIX_pbuffer 不支持 GLX_SGIX_swap_barrier 不支持 GLX_SGIX_swap_group 不支持 GLX_SGIX_video_resize 不支持 GLX_SGIX_video_source 不支持 GLX_SGIX_visual_select_group 不支持 GLX_SUN_get_transparent_index 不支持 GLX_SUN_video_resize 不支持 WGL_3DFX_gamma_control 不支持 WGL_3DFX_multisample 不支持 WGL_3DL_stereo_control 不支持 WGL_AMD_gpu_association 不支持 WGL_AMDX_gpu_association 不支持 WGL_ARB_buffer_region 支持 WGL_ARB_context_flush_control 支持 WGL_ARB_create_context 支持 WGL_ARB_create_context_no_error 支持 WGL_ARB_create_context_profile 支持 WGL_ARB_create_context_robustness 支持 WGL_ARB_extensions_string 支持 WGL_ARB_framebuffer_sRGB 不支持 WGL_ARB_make_current_read 支持 WGL_ARB_multisample 支持 WGL_ARB_pbuffer 支持 WGL_ARB_pixel_format 支持 WGL_ARB_pixel_format_float 支持 WGL_ARB_render_texture 支持 WGL_ARB_robustness_application_isolation 不支持 WGL_ARB_robustness_share_group_isolation 不支持 WGL_ATI_pbuffer_memory_hint 不支持 WGL_ATI_pixel_format_float 支持 WGL_ATI_render_texture_rectangle 不支持 WGL_EXT_buffer_region 不支持 WGL_EXT_colorspace 支持 WGL_EXT_create_context_es_profile 支持 WGL_EXT_create_context_es2_profile 支持 WGL_EXT_depth_float 不支持 WGL_EXT_display_color_table 不支持 WGL_EXT_extensions_string 支持 WGL_EXT_framebuffer_sRGB 支持 WGL_EXT_framebuffer_sRGBWGL_ARB_create_context 不支持 WGL_EXT_gamma_control 不支持 WGL_EXT_make_current_read 不支持 WGL_EXT_multisample 不支持 WGL_EXT_pbuffer 不支持 WGL_EXT_pixel_format 不支持 WGL_EXT_pixel_format_packed_float 支持 WGL_EXT_render_texture 不支持 WGL_EXT_swap_control 支持 WGL_EXT_swap_control_tear 支持 WGL_EXT_swap_interval 不支持 WGL_I3D_digital_video_control 不支持 WGL_I3D_gamma 不支持 WGL_I3D_genlock 不支持 WGL_I3D_image_buffer 不支持 WGL_I3D_swap_frame_lock 不支持 WGL_I3D_swap_frame_usage 不支持 WGL_INTEL_cl_sharing 不支持 WGL_MTX_video_preview 不支持 WGL_NV_bridged_display 不支持 WGL_NV_copy_image 支持 WGL_NV_delay_before_swap 支持 WGL_NV_DX_interop 支持 WGL_NV_DX_interop2 支持 WGL_NV_float_buffer 支持 WGL_NV_gpu_affinity 不支持 WGL_NV_multigpu_context 支持 WGL_NV_multisample_coverage 支持 WGL_NV_present_video 不支持 WGL_NV_render_depth_texture 支持 WGL_NV_render_texture_rectangle 支持 WGL_NV_swap_group 不支持 WGL_NV_texture_rectangle 不支持 WGL_NV_vertex_array_range 不支持 WGL_NV_video_capture 不支持 WGL_NV_video_output 不支持 WGL_NVX_DX_interop 支持 WGL_OML_sync_control 不支持 WGL_S3_cl_sharingWGL_ARB_create_context_profile 不支持 压缩纹理格式支持: RGB DXT1 支持 RGBA DXT1 不支持 RGBA DXT3 支持 RGBA DXT5 支持 RGB FXT1 不支持 RGBA FXT1 不支持 3Dc 不支持 显示适配器制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ GPGPU ]------------------------------------------------------------------------------------------------------- [ CUDA: nVIDIA GeForce GTX 850M (GM107) ] 设备属性: 设备名称 GeForce GTX 850M GPU 代码名称 GM107 PCI Domain / Bus / Device 0 / 3 / 0 时钟频率 901 MHz Asynchronous Engines 4 多处理器/核心数 5 / 640 L2 缓存 2 MB Max Threads Per Multiprocessor 2048 Max Threads Per Block 1024 Max Registers Per Block 65536 Max 32-bit Registers Per Multiprocessor 65536 Max Instructions Per Kernel 512 百万 Warp Size 32 threads Max Block Size 1024 x 1024 x 64 Max Grid Size 2147483647 x 65535 x 65535 Max 1D Texture Width 65536 Max 2D Texture Size 65536 x 65536 Max 3D Texture Size 4096 x 4096 x 4096 Max 1D Linear Texture Width 134217728 Max 2D Linear Texture Size 65536 x 65536 Max 2D Linear Texture Pitch 1048544 字节 Max 1D Layered Texture Width 16384 Max 1D Layered Texture Layers 2048 Max Mipmapped 1D Texture Width 16384 Max Mipmapped 2D Texture Size 16384 x 16384 Max Cubemap Texture Size 16384 x 16384 Max Cubemap Layered Texture Size 16384 x 16384 Max Cubemap Layered Texture Layers 2046 Max Texture Array Size 16384 x 16384 Max Texture Array Slices 2048 Max 1D Surface Width 16384 Max 2D Surface Size 65536 x 65536 Max 3D Surface Size 4096 x 4096 x 4096 Max 1D Layered Surface Width 16384 Max 1D Layered Surface Layers 2048 Max 2D Layered Surface Size 16384 x 16384 Max 2D Layered Surface Layers 2048 Compute Mode Default: Multiple contexts allowed per device Compute Capability 5.0 CUDA DLL nvcuda.dll (27.21.14.5709 - nVIDIA ForceWare 457.09) 显存特性: 显存频率 1001 MHz Global Memory Bus Width 128 位 Total Constant Memory 64 KB Max Shared Memory Per Block 48 KB Max Shared Memory Per Multiprocessor 64 KB Max Memory Pitch 2147483647 字节 Texture Alignment 512 字节 Texture Pitch Alignment 32 字节 Surface Alignment 512 字节 设备特性: 32-bit Floating-Point Atomic Addition 支持 32-bit Integer Atomic Operations 支持 64-bit Integer Atomic Operations 支持 Caching Globals in L1 Cache 不支持 Caching Locals in L1 Cache 支持 Concurrent Kernel Execution 支持 Concurrent Memory Copy & Execute 支持 Double-Precision Floating-Point 支持 ECC 已禁用 Funnel Shift 支持 Half-Precision Floating-Point 不支持 Host Memory Mapping 支持 Integrated Device 否 Managed Memory 不支持 Multi-GPU Board 否 Stream Priorities 支持 Surface Functions 支持 TCC Driver 否 Warp Vote Functions 支持 __ballot() 支持 __syncthreads_and() 支持 __syncthreads_count() 支持 __syncthreads_or() 支持 __threadfence_system() 支持 设备制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Direct3D: NVIDIA GeForce GTX 850M (GM107) ] 设备属性: 设备名称 NVIDIA GeForce GTX 850M GPU 代码名称 GM107 PCI 设备 10DE-1391 / 1025-091C (Rev A2) 专用内存 3 GB 驱动程序名称 nvldumd.dll 驱动程序版本 27.21.14.5709 - nVIDIA ForceWare 457.09 Shader Model SM 5.0 Max Threads 1024 Multiple UAV Access 8 UAVs Thread Dispatch 3D Thread Local Storage 32 KB 设备特性: 10-bit Precision Floating-Point 不支持 16-bit Precision Floating-Point 不支持 Append/Consume Buffers 支持 Atomic Operations 支持 Double-Precision Floating-Point 支持 Gather4 支持 Indirect Compute Dispatch 支持 Map On Default Buffers 支持 设备制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Direct3D: Intel(R) HD Graphics Family (HSW-ULT GT2) ] 设备属性: 设备名称 Intel(R) HD Graphics Family GPU 代码名称 HSW-ULT GT2 PCI 设备 8086-0A16 / 1025-091C (Rev 0B) 专用内存 112 MB Shader Model SM 5.1 Max Threads 1024 Multiple UAV Access 64 UAVs Thread Dispatch 3D Thread Local Storage 32 KB 设备特性: 10-bit Precision Floating-Point 不支持 16-bit Precision Floating-Point 不支持 Append/Consume Buffers 支持 Atomic Operations 支持 Double-Precision Floating-Point 支持 Gather4 支持 Indirect Compute Dispatch 支持 Map On Default Buffers 支持 设备制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ OpenCL: nVIDIA GeForce GTX 850M (GM107) ] OpenCL 属性: 平台名称 NVIDIA CUDA 平台厂商 NVIDIA Corporation 平台版本 OpenCL 1.2 CUDA 11.1.106 平台配置 Full 设备属性: 设备名称 GeForce GTX 850M GPU 代码名称 GM107 设备类型 图形处理器(GPU) 设备厂商 NVIDIA Corporation 设备版本 OpenCL 1.2 CUDA 设备配置 Full 驱动程序版本 457.09 OpenCL C 版本 OpenCL C 1.2 时钟频率 901 MHz 计算单元/核心数 5 / 640 Address Space Size 32 位 Max 2D Image Size 16384 x 16384 Max 3D Image Size 4096 x 4096 x 4096 Max Image Array Size 2048 Max Image Buffer Size 134217728 Max Samplers 32 Max Work-Item Size 1024 x 1024 x 64 Max Work-Group Size 1024 Max Argument Size 4352 字节 Max Constant Buffer Size 64 KB Max Constant Arguments 9 Max Printf Buffer Size 1 MB Native ISA Vector Widths char1, short1, int1, float1, double1 Preferred Native Vector Widths char1, short1, int1, long1, float1, double1 Profiling Timer Resolution 1000 ns CUDA Compute Capability 5.0 Max Registers Per Block 65536 Warp Size 32 threads Asynchronous Engines 4 PCI Bus / Device 3 / 0 OpenCL DLL opencl.dll (2.2.5.0) 显存特性: Global Memory 4 GB Global Memory Cache 120 KB (Read/Write, 128-byte line) Local Memory 48 KB Max Memory Object Allocation Size 1 GB Memory Base Address Alignment 4096 位 Min Data Type Alignment 128 字节 OpenCL 兼容: OpenCL 1.1 是 (100%) OpenCL 1.2 是 (100%) OpenCL 2.0 否 (62%) 设备特性: Command-Queue Out Of Order Execution 已启用 Command-Queue Profiling 已启用 Compiler Available 是 错误修正 不支持 Images 支持 Kernel Execution 支持 Linker Available 是 Little-Endian Device 是 Native Kernel Execution 不支持 Sub-Group Independent Forward Progress 不支持 SVM Atomics 不支持 SVM Coarse Grain Buffer 不支持 SVM Fine Grain Buffer 支持 SVM Fine Grain System 不支持 Thread Trace 不支持 Unified Memory 否 半精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 不支持 IEEE754-2008 FMA 不支持 INF and NaNs 不支持 Rounding to Infinity 不支持 Rounding to Nearest Even 不支持 Rounding to Zero 不支持 Software Basic Floating-Point Operations 否 单精度浮点运算能力: Correctly Rounded Divide and Sqrt 支持 Denorms 支持 IEEE754-2008 FMA 支持 INF and NaNs 支持 Rounding to Infinity 支持 Rounding to Nearest Even 支持 Rounding to Zero 支持 Software Basic Floating-Point Operations 否 双精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 支持 IEEE754-2008 FMA 支持 INF and NaNs 支持 Rounding to Infinity 支持 Rounding to Nearest Even 支持 Rounding to Zero 支持 Software Basic Floating-Point Operations 否 设备扩展: 总数/已支持 134 / 19 cl_altera_compiler_mode 不支持 cl_altera_device_temperature 不支持 cl_altera_live_object_tracking 不支持 cl_amd_bus_addressable_memory 不支持 cl_amd_c1x_atomics 不支持 cl_amd_compile_options 不支持 cl_amd_copy_buffer_p2p 不支持 cl_amd_core_id 不支持 cl_amd_d3d10_interop 不支持 cl_amd_d3d9_interop 不支持 cl_amd_device_attribute_query 不支持 cl_amd_device_board_name 不支持 cl_amd_device_memory_flags 不支持 cl_amd_device_persistent_memory 不支持 cl_amd_device_profiling_timer_offset 不支持 cl_amd_device_topology 不支持 cl_amd_event_callback 不支持 cl_amd_fp64 不支持 cl_amd_hsa 不支持 cl_amd_image2d_from_buffer_read_only 不支持 cl_amd_liquid_flash 不支持 cl_amd_media_ops 不支持 cl_amd_media_ops2 不支持 cl_amd_offline_devices 不支持 cl_amd_popcnt 不支持 cl_amd_predefined_macros 不支持 cl_amd_printf 不支持 cl_amd_svm 不支持 cl_amd_vec3 不支持 cl_apple_contextloggingfunctions 不支持 cl_apple_gl_sharing 不支持 cl_apple_setmemobjectdestructor 不支持 cl_arm_core_id 不支持 cl_arm_import_memory 不支持 cl_arm_import_memory_dma_buf 不支持 cl_arm_import_memory_host 不支持 cl_arm_integer_dot_product_int8 不支持 cl_arm_non_uniform_work_group_size 不支持 cl_arm_printf 不支持 cl_arm_thread_limit_hint 不支持 cl_ext_atomic_counters_32 不支持 cl_ext_atomic_counters_64 不支持 cl_ext_device_fission 不支持 cl_ext_migrate_memobject 不支持 cl_intel_accelerator 不支持 cl_intel_advanced_motion_estimation 不支持 cl_intel_command_queue_families 不支持 cl_intel_ctz 不支持 cl_intel_d3d11_nv12_media_sharing 不支持 cl_intel_device_attribute_query 不支持 cl_intel_device_partition_by_names 不支持 cl_intel_device_side_avc_motion_estimation 不支持 cl_intel_driver_diagnostics 不支持 cl_intel_dx9_media_sharing 不支持 cl_intel_exec_by_local_thread 不支持 cl_intel_media_block_io 不支持 cl_intel_mem_force_host_memory 不支持 cl_intel_motion_estimation 不支持 cl_intel_packed_yuv 不支持 cl_intel_planar_yuv 不支持 cl_intel_printf 不支持 cl_intel_required_subgroup_size 不支持 cl_intel_sharing_format_query 不支持 cl_intel_simultaneous_sharing 不支持 cl_intel_spirv_device_side_avc_motion_estimation 不支持 cl_intel_spirv_media_block_io 不支持 cl_intel_spirv_subgroups 不支持 cl_intel_subgroup_local_block_io 不支持 cl_intel_subgroups 不支持 cl_intel_subgroups_char 不支持 cl_intel_subgroups_long 不支持 cl_intel_subgroups_short 不支持 cl_intel_thread_local_exec 不支持 cl_intel_unified_shared_memory_preview 不支持 cl_intel_unified_sharing 不支持 cl_intel_va_api_media_sharing 不支持 cl_intel_vec_len_hint 不支持 cl_intel_visual_analytics 不支持 cl_khr_3d_image_writes 不支持 cl_khr_byte_addressable_store 支持 cl_khr_context_abort 不支持 cl_khr_create_command_queue 不支持 cl_khr_d3d10_sharing 支持 cl_khr_d3d11_sharing 不支持 cl_khr_depth_images 不支持 cl_khr_device_uuid 支持 cl_khr_dx9_media_sharing 不支持 cl_khr_egl_event 不支持 cl_khr_egl_image 不支持 cl_khr_fp16 不支持 cl_khr_fp64 支持 cl_khr_gl_depth_images 不支持 cl_khr_gl_event 不支持 cl_khr_gl_msaa_sharing 不支持 cl_khr_gl_sharing 支持 cl_khr_global_int32_base_atomics 支持 cl_khr_global_int32_extended_atomics 支持 cl_khr_icd 支持 cl_khr_il_program 不支持 cl_khr_image2d_from_buffer 不支持 cl_khr_initialize_memory 不支持 cl_khr_int64_base_atomics 支持 cl_khr_int64_extended_atomics 支持 cl_khr_local_int32_base_atomics 支持 cl_khr_local_int32_extended_atomics 支持 cl_khr_mipmap_image 不支持 cl_khr_mipmap_image_writes 不支持 cl_khr_pci_bus_info 不支持 cl_khr_priority_hints 不支持 cl_khr_select_fprounding_mode 不支持 cl_khr_spir 不支持 cl_khr_spirv_no_integer_wrap_decoration 不支持 cl_khr_srgb_image_writes 不支持 cl_khr_subgroup_ballot 不支持 cl_khr_subgroup_clustered_reduce 不支持 cl_khr_subgroup_extended_types 不支持 cl_khr_subgroup_non_uniform_arithmetic 不支持 cl_khr_subgroup_non_uniform_vote 不支持 cl_khr_subgroup_shuffle 不支持 cl_khr_subgroup_shuffle_relative 不支持 cl_khr_subgroups 不支持 cl_khr_suggested_local_work_size 不支持 cl_khr_terminate_context 不支持 cl_khr_throttle_hints 不支持 cl_nv_compiler_options 支持 cl_nv_copy_opts 支持 cl_nv_create_buffer 支持 cl_nv_d3d10_sharing 支持 cl_nv_d3d11_sharing 支持 cl_nv_d3d9_sharing 不支持 cl_nv_device_attribute_query 支持 cl_nv_pragma_unroll 支持 cl_qcom_ext_host_ptr 不支持 cl_qcom_ion_host_ptr 不支持 设备制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ OpenCL: Intel(R) HD Graphics 4400 (HSW-ULT GT2) ] OpenCL 属性: 平台名称 Intel(R) OpenCL 平台厂商 Intel(R) Corporation 平台版本 OpenCL 1.2 平台配置 Full 设备属性: 设备名称 Intel(R) HD Graphics 4400 GPU 代码名称 HSW-ULT GT2 设备类型 图形处理器(GPU) 设备厂商 Intel(R) Corporation 设备版本 OpenCL 1.2 设备配置 Full 驱动程序版本 20.19.15.4463 OpenCL C 版本 OpenCL C 1.2 Supported Built-In Kernels block_motion_estimate_intel; block_advanced_motion_estimate_check_intel; block_advanced_motion_estimate_bidirectional_check_intel Supported SPIR Versions 1.2 时钟频率 1000 MHz 计算单元/核心数 20 / 80 Address Space Size 64 位 Max 2D Image Size 16384 x 16384 Max 3D Image Size 2048 x 2048 x 2048 Max Image Array Size 2048 Max Image Buffer Size 24392550 Max Samplers 16 Max Work-Item Size 512 x 512 x 512 Max Work-Group Size 512 Max Argument Size 1 KB Max Constant Buffer Size 64 KB Max Constant Arguments 8 Max Printf Buffer Size 4 MB Native ISA Vector Widths char1, short1, int1, float1 Preferred Native Vector Widths char1, short1, int1, long1, float1 Profiling Timer Resolution 80 ns OpenCL DLL opencl.dll (2.2.5.0) 显存特性: Global Memory 1488 MB Global Memory Cache 256 KB (Read/Write, 64-byte line) Local Memory 64 KB Max Memory Object Allocation Size 381133 KB Memory Base Address Alignment 1024 位 Min Data Type Alignment 128 字节 Image Row Pitch Alignment 64 pixels Image Base Address Alignment 4096 pixels OpenCL 兼容: OpenCL 1.1 是 (100%) OpenCL 1.2 是 (100%) OpenCL 2.0 是 (100%) 设备特性: Command-Queue Out Of Order Execution 已禁用 Command-Queue Profiling 已启用 Compiler Available 是 错误修正 不支持 Images 支持 Kernel Execution 支持 Linker Available 是 Little-Endian Device 是 Native Kernel Execution 不支持 Sub-Group Independent Forward Progress 不支持 SVM Atomics 不支持 SVM Coarse Grain Buffer 不支持 SVM Fine Grain Buffer 不支持 SVM Fine Grain System 不支持 Thread Trace 不支持 Unified Memory 是 半精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 不支持 IEEE754-2008 FMA 不支持 INF and NaNs 不支持 Rounding to Infinity 不支持 Rounding to Nearest Even 不支持 Rounding to Zero 不支持 Software Basic Floating-Point Operations 否 单精度浮点运算能力: Correctly Rounded Divide and Sqrt 支持 Denorms 不支持 IEEE754-2008 FMA 不支持 INF and NaNs 支持 Rounding to Infinity 支持 Rounding to Nearest Even 支持 Rounding to Zero 支持 Software Basic Floating-Point Operations 否 双精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 不支持 IEEE754-2008 FMA 不支持 INF and NaNs 不支持 Rounding to Infinity 不支持 Rounding to Nearest Even 不支持 Rounding to Zero 不支持 Software Basic Floating-Point Operations 否 设备扩展: 总数/已支持 133 / 25 cl_altera_compiler_mode 不支持 cl_altera_device_temperature 不支持 cl_altera_live_object_tracking 不支持 cl_amd_bus_addressable_memory 不支持 cl_amd_c1x_atomics 不支持 cl_amd_compile_options 不支持 cl_amd_copy_buffer_p2p 不支持 cl_amd_core_id 不支持 cl_amd_d3d10_interop 不支持 cl_amd_d3d9_interop 不支持 cl_amd_device_attribute_query 不支持 cl_amd_device_board_name 不支持 cl_amd_device_memory_flags 不支持 cl_amd_device_persistent_memory 不支持 cl_amd_device_profiling_timer_offset 不支持 cl_amd_device_topology 不支持 cl_amd_event_callback 不支持 cl_amd_fp64 不支持 cl_amd_hsa 不支持 cl_amd_image2d_from_buffer_read_only 不支持 cl_amd_liquid_flash 不支持 cl_amd_media_ops 不支持 cl_amd_media_ops2 不支持 cl_amd_offline_devices 不支持 cl_amd_popcnt 不支持 cl_amd_predefined_macros 不支持 cl_amd_printf 不支持 cl_amd_svm 不支持 cl_amd_vec3 不支持 cl_apple_contextloggingfunctions 不支持 cl_apple_gl_sharing 不支持 cl_apple_setmemobjectdestructor 不支持 cl_arm_core_id 不支持 cl_arm_import_memory 不支持 cl_arm_import_memory_dma_buf 不支持 cl_arm_import_memory_host 不支持 cl_arm_integer_dot_product_int8 不支持 cl_arm_non_uniform_work_group_size 不支持 cl_arm_printf 不支持 cl_arm_thread_limit_hint 不支持 cl_ext_atomic_counters_32 不支持 cl_ext_atomic_counters_64 不支持 cl_ext_device_fission 不支持 cl_ext_migrate_memobject 不支持 cl_intel_accelerator 支持 cl_intel_advanced_motion_estimation 支持 cl_intel_command_queue_families 不支持 cl_intel_ctz 支持 cl_intel_d3d11_nv12_media_sharing 支持 cl_intel_device_attribute_query 不支持 cl_intel_device_partition_by_names 不支持 cl_intel_device_side_avc_motion_estimation 不支持 cl_intel_driver_diagnostics 不支持 cl_intel_dx9_media_sharing 支持 cl_intel_exec_by_local_thread 不支持 cl_intel_media_block_io 不支持 cl_intel_mem_force_host_memory 不支持 cl_intel_motion_estimation 支持 cl_intel_packed_yuv 不支持 cl_intel_planar_yuv 不支持 cl_intel_printf 不支持 cl_intel_required_subgroup_size 不支持 cl_intel_sharing_format_query 不支持 cl_intel_simultaneous_sharing 支持 cl_intel_spirv_device_side_avc_motion_estimation 不支持 cl_intel_spirv_media_block_io 不支持 cl_intel_spirv_subgroups 不支持 cl_intel_subgroup_local_block_io 不支持 cl_intel_subgroups 支持 cl_intel_subgroups_char 不支持 cl_intel_subgroups_long 不支持 cl_intel_subgroups_short 不支持 cl_intel_thread_local_exec 不支持 cl_intel_unified_shared_memory_preview 不支持 cl_intel_unified_sharing 不支持 cl_intel_va_api_media_sharing 不支持 cl_intel_vec_len_hint 不支持 cl_intel_visual_analytics 不支持 cl_khr_3d_image_writes 支持 cl_khr_byte_addressable_store 支持 cl_khr_context_abort 不支持 cl_khr_create_command_queue 不支持 cl_khr_d3d10_sharing 支持 cl_khr_d3d11_sharing 支持 cl_khr_depth_images 支持 cl_khr_dx9_media_sharing 支持 cl_khr_egl_event 不支持 cl_khr_egl_image 不支持 cl_khr_fp16 不支持 cl_khr_fp64 不支持 cl_khr_gl_depth_images 支持 cl_khr_gl_event 支持 cl_khr_gl_msaa_sharing 支持 cl_khr_gl_sharing 支持 cl_khr_global_int32_base_atomics 支持 cl_khr_global_int32_extended_atomics 支持 cl_khr_icd 支持 cl_khr_il_program 不支持 cl_khr_image2d_from_buffer 支持 cl_khr_initialize_memory 不支持 cl_khr_int64_base_atomics 不支持 cl_khr_int64_extended_atomics 不支持 cl_khr_local_int32_base_atomics 支持 cl_khr_local_int32_extended_atomics 支持 cl_khr_mipmap_image 不支持 cl_khr_mipmap_image_writes 不支持 cl_khr_pci_bus_info 不支持 cl_khr_priority_hints 不支持 cl_khr_select_fprounding_mode 不支持 cl_khr_spir 支持 cl_khr_spirv_no_integer_wrap_decoration 不支持 cl_khr_srgb_image_writes 不支持 cl_khr_subgroup_ballot 不支持 cl_khr_subgroup_clustered_reduce 不支持 cl_khr_subgroup_extended_types 不支持 cl_khr_subgroup_non_uniform_arithmetic 不支持 cl_khr_subgroup_non_uniform_vote 不支持 cl_khr_subgroup_shuffle 不支持 cl_khr_subgroup_shuffle_relative 不支持 cl_khr_subgroups 不支持 cl_khr_suggested_local_work_size 不支持 cl_khr_terminate_context 不支持 cl_khr_throttle_hints 不支持 cl_nv_compiler_options 不支持 cl_nv_copy_opts 不支持 cl_nv_create_buffer 不支持 cl_nv_d3d10_sharing 不支持 cl_nv_d3d11_sharing 不支持 cl_nv_d3d9_sharing 不支持 cl_nv_device_attribute_query 不支持 cl_nv_pragma_unroll 不支持 cl_qcom_ext_host_ptr 不支持 cl_qcom_ion_host_ptr 不支持 设备制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ OpenCL: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz ] OpenCL 属性: 平台名称 Intel(R) OpenCL 平台厂商 Intel(R) Corporation 平台版本 OpenCL 1.2 平台配置 Full 设备属性: 设备名称 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 设备类型 中央处理器(CPU) 设备厂商 Intel(R) Corporation 设备版本 OpenCL 1.2 (Build 10094) 设备配置 Full 驱动程序版本 5.2.0.10094 OpenCL C 版本 OpenCL C 1.2 Supported SPIR Versions 1.2 时钟频率 1700 MHz 计算单元 4 Address Space Size 32 位 Max 2D Image Size 16384 x 16384 Max 3D Image Size 2048 x 2048 x 2048 Max Image Array Size 2048 Max Image Buffer Size 33552384 Max Samplers 480 Max Work-Item Size 8192 x 8192 x 8192 Max Work-Group Size 8192 Max Global Variable Size 64 KB Preferred Global Variables Total Size 64 KB Max Argument Size 3840 字节 Max Constant Buffer Size 128 KB Max Constant Arguments 480 Max Pipe Arguments 16 Max Printf Buffer Size 1 MB Native ISA Vector Widths char32, short16, int4, float8, double4 Preferred Native Vector Widths char1, short1, int1, long1, float1, double1 Profiling Timer Resolution 100 ns OpenCL DLL opencl.dll (2.2.5.0) 显存特性: Global Memory 2047 MB Global Memory Cache 256 KB (Read/Write, 64-byte line) Local Memory 32 KB Max Memory Object Allocation Size 524256 KB Memory Base Address Alignment 1024 位 Min Data Type Alignment 128 字节 Image Row Pitch Alignment 64 pixels Image Base Address Alignment 64 pixels Preferred Platform Atomic Alignment 64 字节 Preferred Global Atomic Alignment 64 字节 OpenCL 兼容: OpenCL 1.1 是 (100%) OpenCL 1.2 是 (100%) OpenCL 2.0 否 (87%) 设备特性: Command-Queue Out Of Order Execution 已启用 Command-Queue Profiling 已启用 Compiler Available 是 错误修正 不支持 Images 支持 Kernel Execution 支持 Linker Available 是 Little-Endian Device 是 Native Kernel Execution 支持 Sub-Group Independent Forward Progress 不支持 SVM Atomics 支持 SVM Coarse Grain Buffer 支持 SVM Fine Grain Buffer 支持 SVM Fine Grain System 支持 Thread Trace 不支持 Unified Memory 是 半精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 不支持 IEEE754-2008 FMA 不支持 INF and NaNs 不支持 Rounding to Infinity 不支持 Rounding to Nearest Even 不支持 Rounding to Zero 不支持 Software Basic Floating-Point Operations 否 单精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 支持 IEEE754-2008 FMA 不支持 INF and NaNs 支持 Rounding to Infinity 不支持 Rounding to Nearest Even 支持 Rounding to Zero 不支持 Software Basic Floating-Point Operations 否 双精度浮点运算能力: Correctly Rounded Divide and Sqrt 不支持 Denorms 支持 IEEE754-2008 FMA 支持 INF and NaNs 支持 Rounding to Infinity 支持 Rounding to Nearest Even 支持 Rounding to Zero 支持 Software Basic Floating-Point Operations 否 设备扩展: 总数/已支持 133 / 15 cl_altera_compiler_mode 不支持 cl_altera_device_temperature 不支持 cl_altera_live_object_tracking 不支持 cl_amd_bus_addressable_memory 不支持 cl_amd_c1x_atomics 不支持 cl_amd_compile_options 不支持 cl_amd_copy_buffer_p2p 不支持 cl_amd_core_id 不支持 cl_amd_d3d10_interop 不支持 cl_amd_d3d9_interop 不支持 cl_amd_device_attribute_query 不支持 cl_amd_device_board_name 不支持 cl_amd_device_memory_flags 不支持 cl_amd_device_persistent_memory 不支持 cl_amd_device_profiling_timer_offset 不支持 cl_amd_device_topology 不支持 cl_amd_event_callback 不支持 cl_amd_fp64 不支持 cl_amd_hsa 不支持 cl_amd_image2d_from_buffer_read_only 不支持 cl_amd_liquid_flash 不支持 cl_amd_media_ops 不支持 cl_amd_media_ops2 不支持 cl_amd_offline_devices 不支持 cl_amd_popcnt 不支持 cl_amd_predefined_macros 不支持 cl_amd_printf 不支持 cl_amd_svm 不支持 cl_amd_vec3 不支持 cl_apple_contextloggingfunctions 不支持 cl_apple_gl_sharing 不支持 cl_apple_setmemobjectdestructor 不支持 cl_arm_core_id 不支持 cl_arm_import_memory 不支持 cl_arm_import_memory_dma_buf 不支持 cl_arm_import_memory_host 不支持 cl_arm_integer_dot_product_int8 不支持 cl_arm_non_uniform_work_group_size 不支持 cl_arm_printf 不支持 cl_arm_thread_limit_hint 不支持 cl_ext_atomic_counters_32 不支持 cl_ext_atomic_counters_64 不支持 cl_ext_device_fission 不支持 cl_ext_migrate_memobject 不支持 cl_intel_accelerator 不支持 cl_intel_advanced_motion_estimation 不支持 cl_intel_command_queue_families 不支持 cl_intel_ctz 不支持 cl_intel_d3d11_nv12_media_sharing 不支持 cl_intel_device_attribute_query 不支持 cl_intel_device_partition_by_names 不支持 cl_intel_device_side_avc_motion_estimation 不支持 cl_intel_driver_diagnostics 不支持 cl_intel_dx9_media_sharing 支持 cl_intel_exec_by_local_thread 支持 cl_intel_media_block_io 不支持 cl_intel_mem_force_host_memory 不支持 cl_intel_motion_estimation 不支持 cl_intel_packed_yuv 不支持 cl_intel_planar_yuv 不支持 cl_intel_printf 不支持 cl_intel_required_subgroup_size 不支持 cl_intel_sharing_format_query 不支持 cl_intel_simultaneous_sharing 不支持 cl_intel_spirv_device_side_avc_motion_estimation 不支持 cl_intel_spirv_media_block_io 不支持 cl_intel_spirv_subgroups 不支持 cl_intel_subgroup_local_block_io 不支持 cl_intel_subgroups 不支持 cl_intel_subgroups_char 不支持 cl_intel_subgroups_long 不支持 cl_intel_subgroups_short 不支持 cl_intel_thread_local_exec 不支持 cl_intel_unified_shared_memory_preview 不支持 cl_intel_unified_sharing 不支持 cl_intel_va_api_media_sharing 不支持 cl_intel_vec_len_hint 不支持 cl_intel_visual_analytics 不支持 cl_khr_3d_image_writes 支持 cl_khr_byte_addressable_store 支持 cl_khr_context_abort 不支持 cl_khr_create_command_queue 不支持 cl_khr_d3d10_sharing 不支持 cl_khr_d3d11_sharing 支持 cl_khr_depth_images 支持 cl_khr_dx9_media_sharing 支持 cl_khr_egl_event 不支持 cl_khr_egl_image 不支持 cl_khr_fp16 不支持 cl_khr_fp64 支持 cl_khr_gl_depth_images 不支持 cl_khr_gl_event 不支持 cl_khr_gl_msaa_sharing 不支持 cl_khr_gl_sharing 支持 cl_khr_global_int32_base_atomics 支持 cl_khr_global_int32_extended_atomics 支持 cl_khr_icd 支持 cl_khr_il_program 不支持 cl_khr_image2d_from_buffer 不支持 cl_khr_initialize_memory 不支持 cl_khr_int64_base_atomics 不支持 cl_khr_int64_extended_atomics 不支持 cl_khr_local_int32_base_atomics 支持 cl_khr_local_int32_extended_atomics 支持 cl_khr_mipmap_image 不支持 cl_khr_mipmap_image_writes 不支持 cl_khr_pci_bus_info 不支持 cl_khr_priority_hints 不支持 cl_khr_select_fprounding_mode 不支持 cl_khr_spir 支持 cl_khr_spirv_no_integer_wrap_decoration 不支持 cl_khr_srgb_image_writes 不支持 cl_khr_subgroup_ballot 不支持 cl_khr_subgroup_clustered_reduce 不支持 cl_khr_subgroup_extended_types 不支持 cl_khr_subgroup_non_uniform_arithmetic 不支持 cl_khr_subgroup_non_uniform_vote 不支持 cl_khr_subgroup_shuffle 不支持 cl_khr_subgroup_shuffle_relative 不支持 cl_khr_subgroups 不支持 cl_khr_suggested_local_work_size 不支持 cl_khr_terminate_context 不支持 cl_khr_throttle_hints 不支持 cl_nv_compiler_options 不支持 cl_nv_copy_opts 不支持 cl_nv_create_buffer 不支持 cl_nv_d3d10_sharing 不支持 cl_nv_d3d11_sharing 不支持 cl_nv_d3d9_sharing 不支持 cl_nv_device_attribute_query 不支持 cl_nv_pragma_unroll 不支持 cl_qcom_ext_host_ptr 不支持 cl_qcom_ion_host_ptr 不支持 设备制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ Vulkan ]------------------------------------------------------------------------------------------------------ [ GeForce GTX 850M (GM107) ] 设备属性: 设备名称 GeForce GTX 850M 设备代码名称 GM107 设备类型 Discrete GPU 设备 UUID D9-D1-0B-E7-EF-30-D6-5C-79-0D-2A-97-4E-78-40-4D PCI 设备 10DE-1391 显存大小 4404992 KB Max 1D Image Size 16384 Max 2D Image Size 16384 x 16384 Max 3D Image Size 2048 x 2048 x 2048 Max Cube Image Size 16384 x 16384 Max Image Layers 2048 Max Texel Buffer Elements 134217728 Max Uniform Buffer Range 65536 Max Storage Buffer Range 4294967295 Max Push Constants Size 256 字节 Max Memory Allocation Count 4096 Max Sampler Allocation Count 4000 Buffer Image Granularity 65536 字节 Sparse Address Space Size 1099511627775 字节 Max Bound Descriptor Sets 32 Max Per-Stage Descriptor Samplers 1048576 Max Per-Stage Descriptor Uniform Buffers 15 Max Per-Stage Descriptor Storage Buffers 1048576 Max Per-Stage Descriptor Sampled Images 1048576 Max Per-Stage Descriptor Storage Images 1048576 Max Per-Stage Descriptor Input Attachments 1048576 Max Per-Stage Resources 4294967295 Max Descriptor Set Samplers 1048576 Max Descriptor Set Uniform Buffers 90 Max Descriptor Set Dynamic Uniform Buffers 15 Max Descriptor Set Storage Buffers 1048576 Max Descriptor Set Dynamic Storage Buffers 16 Max Descriptor Set Sampled Images 1048576 Max Descriptor Set Storage Images 1048576 Max Descriptor Set Input Attachments 1048576 Max Vertex Input Attributes 32 Max Vertex Input Bindings 32 Max Vertex Input Attribute Offset 2047 Max Vertex Input Binding Stride 2048 Max Vertex Output Components 128 Max Tesselation Generation Level 64 Max Tesselation Patch Size 32 Max Tesselation Control Per-Vertex Input Components128 Max Tesselation Control Per-Vertex Output Components128 Max Tesselation Control Per-Patch Output Components120 Max Tesselation Control Total Output Components 4216 Max Tesselation Evaluation Input Components 128 Max Tesselation Evaluation Output Components 128 Max Geometry Shader Invocations 32 Max Geometry Input Components 128 Max Geometry Output Components 128 Max Geometry Output Vertices 1024 Max Geometry Total Output Components 1024 Max Fragment Input Components 128 Max Fragment Output Attachments 8 Max Fragment DualSrc Attachments 1 Max Fragment Combined Output Resources 16 Max Compute Shared Memory Size 49152 字节 Max Compute Work Group Count X: 2147483647, Y: 65535, Z: 65535 Max Compute Work Group Invocations 1536 Max Compute Work Group Size X: 1536, Y: 1024, Z: 64 Subpixel Precision Bits 8 Subtexel Precision Bits 8 Mipmap Precision Bits 8 Max Draw Indexed Index Value 4294967295 Max Draw Indirect Count 4294967295 Max Sampler LOD Bias 15.000000 Max Sampler Anisotropy 16.000000 Max Viewports 16 Max Viewport Size 16384 x 16384 Viewport Bounds Range -32768.000000 ... 32768.000000 Viewport Subpixel Bits 8 Min Memory Map Alignment 64 字节 Min Texel Buffer Offset Alignment 16 字节 Min Uniform Buffer Offset Alignment 256 字节 Min Storage Buffer Offset Alignment 16 字节 Min / Max Texel Offset -8 / 7 Min / Max Texel Gather Offset -32 / 31 Min / Max Interpolation Offset -0.500000 / 0.437500 Subpixel Interpolation Offset Bits 4 Max Framebuffer Size 16384 x 16384 Max Framebuffer Layers 2048 Framebuffer Color Sample Counts 0x0000000F Framebuffer Depth Sample Counts 0x0000000F Framebuffer Stencil Sample Counts 0x0000000F Framebuffer No Attachments Sample Counts 0x0000000F Max Color Attachments 8 Sampled Image Color Sample Counts 0x0000000F Sampled Image Integer Sample Counts 0x0000000F Sampled Image Depth Sample Counts 0x0000000F Sampled Image Stencil Sample Counts 0x0000000F Storage Image Sample Counts 0x0000000F Max Sample Mask Words 1 Timestamp Period 1.000000 ns Max Clip Distances 8 Max Cull Distances 8 Max Combined Clip and Cull Distances 8 Discrete Queue Priorities 2 Point Size Range 1.000000 ... 2047.937500 Line Width Range 1.000000 ... 64.000000 Point Size Granularity 0.062500 Line Width Granularity 0.062500 Optimal Buffer Copy Offset Alignment 1 字节 Optimal Buffer Copy Row Pitch Alignment 1 字节 Non-Coherent Atom Size 64 字节 驱动程序版本 457.36.0 API 版本 1.2.142 Vulkan DLL C:\Windows\system32\vulkan-1.dll (1.2.141.0) 设备特性: Alpha To One 支持 Anisotropic Filtering 支持 ASTC LDR Texture Compression 不支持 BC Texture Compression 支持 Depth Bias Clamping 支持 Depth Bounds Tests 支持 Depth Clamping 支持 Draw Indirect First Instance 支持 Dual Source Blend Operations 支持 ETC2 and EAC Texture Compression 不支持 Fragment Stores and Atomics 支持 Full Draw Index Uint32 支持 Geometry Shader 支持 Image Cube Array 支持 Independent Blend 支持 Inherited Queries 支持 Large Points 支持 Logic Operations 支持 Multi-Draw Indirect 支持 Multi Viewport 支持 Occlusion Query Precise 支持 Pipeline Statistics Query 支持 Point and Wireframe Fill Modes 支持 Robust Buffer Access 支持 Sample Rate Shading 支持 Shader Clip Distance 支持 Shader Cull Distance 支持 Shader Float64 支持 Shader Image Gather Extended 支持 Shader Int16 支持 Shader Int64 支持 Shader Resource Min LOD 不支持 Shader Resource Residency 不支持 Shader Sampled Image Array Dynamic Indexing 支持 Shader Storage Buffer Array Dynamic Indexing 支持 Shader Storage Image Array Dynamic Indexing 支持 Shader Storage Image Extended Formats 支持 Shader Storage Image Multisample 支持 Shader Storage Image Read Without Format 支持 Shader Storage Image Write Without Format 支持 Shader Tesselation and Geometry Point Size 支持 Shader Uniform Buffer Array Dynamic Indexing 支持 Sparse Binding 支持 Sparse Residency 2 Samples 不支持 Sparse Residency 4 Samples 不支持 Sparse Residency 8 Samples 不支持 Sparse Residency 16 Samples 不支持 Sparse Residency Aliased 不支持 Sparse Residency Aligned Mip Size 是 Sparse Residency Buffer 不支持 Sparse Residency Image 2D 不支持 Sparse Residency Image 3D 不支持 Sparse Residency Non-Resident Strict 否 Sparse Residency Standard 2D Block Shape 是 Sparse Residency Standard 2D Multisample Block Shape是 Sparse Residency Standard 3D Block Shape 是 Standard Sample Locations 是 Strict Line Rasterization 是 Tesselation Shader 支持 Timestamps on All Graphics and Compute Queues 支持 Variable Multisample Rate 支持 Vertex Pipeline Stores and Atomics 支持 Wide Lines 支持 Queue: Queue Count 16 Timestamp Valid Bits 64 Min Image Transfer Granularity 1 x 1 x 1 Compute Operations 支持 Graphics Operations 支持 Sparse Memory Management Operations 支持 Transfer Operations 支持 Queue: Queue Count 1 Timestamp Valid Bits 64 Min Image Transfer Granularity 1 x 1 x 1 Compute Operations 不支持 Graphics Operations 不支持 Sparse Memory Management Operations 支持 Transfer Operations 支持 Memory Heap: Heap Type 本地 Heap Size 4153088 KB Host Cached 否 Host Coherent 否 Host Visible 否 Lazily Allocated 否 Memory Heap: Heap Type 远程 Heap Size 4157108 KB Host Cached 是 Host Coherent 是 Host Visible 是 Lazily Allocated 否 Memory Heap: Heap Type 本地 Heap Size 246 MB Host Cached 否 Host Coherent 是 Host Visible 是 Lazily Allocated 否 设备扩展: VK_EXT_blend_operation_advanced 支持 VK_EXT_buffer_device_address 支持 VK_EXT_calibrated_timestamps 支持 VK_EXT_conditional_rendering 支持 VK_EXT_custom_border_color 支持 VK_EXT_depth_clip_enable 支持 VK_EXT_depth_range_unrestricted 支持 VK_EXT_descriptor_indexing 支持 VK_EXT_discard_rectangles 支持 VK_EXT_external_memory_host 支持 VK_EXT_full_screen_exclusive 支持 VK_EXT_hdr_metadata 支持 VK_EXT_host_query_reset 支持 VK_EXT_index_type_uint8 支持 VK_EXT_inline_uniform_block 支持 VK_EXT_line_rasterization 支持 VK_EXT_memory_budget 支持 VK_EXT_memory_priority 支持 VK_EXT_pci_bus_info 支持 VK_EXT_pipeline_creation_cache_control 支持 VK_EXT_pipeline_creation_feedback 支持 VK_EXT_private_data 支持 VK_EXT_robustness2 支持 VK_EXT_scalar_block_layout 支持 VK_EXT_separate_stencil_usage 支持 VK_EXT_shader_demote_to_helper_invocation 支持 VK_EXT_shader_subgroup_ballot 支持 VK_EXT_shader_subgroup_vote 支持 VK_EXT_subgroup_size_control 支持 VK_EXT_texel_buffer_alignment 支持 VK_EXT_tooling_info 支持 VK_EXT_transform_feedback 支持 VK_EXT_vertex_attribute_divisor 支持 VK_EXT_ycbcr_image_arrays 支持 VK_KHR_16bit_storage 支持 VK_KHR_8bit_storage 支持 VK_KHR_bind_memory2 支持 VK_KHR_buffer_device_address 支持 VK_KHR_create_renderpass2 支持 VK_KHR_dedicated_allocation 支持 VK_KHR_depth_stencil_resolve 支持 VK_KHR_descriptor_update_template 支持 VK_KHR_device_group 支持 VK_KHR_draw_indirect_count 支持 VK_KHR_driver_properties 支持 VK_KHR_external_fence 支持 VK_KHR_external_fence_win32 支持 VK_KHR_external_memory 支持 VK_KHR_external_memory_win32 支持 VK_KHR_external_semaphore 支持 VK_KHR_external_semaphore_win32 支持 VK_KHR_get_memory_requirements2 支持 VK_KHR_image_format_list 支持 VK_KHR_imageless_framebuffer 支持 VK_KHR_maintenance1 支持 VK_KHR_maintenance2 支持 VK_KHR_maintenance3 支持 VK_KHR_multiview 支持 VK_KHR_pipeline_executable_properties 支持 VK_KHR_push_descriptor 支持 VK_KHR_relaxed_block_layout 支持 VK_KHR_sampler_mirror_clamp_to_edge 支持 VK_KHR_sampler_ycbcr_conversion 支持 VK_KHR_separate_depth_stencil_layouts 支持 VK_KHR_shader_atomic_int64 支持 VK_KHR_shader_clock 支持 VK_KHR_shader_draw_parameters 支持 VK_KHR_shader_float_controls 支持 VK_KHR_shader_float16_int8 支持 VK_KHR_shader_non_semantic_info 支持 VK_KHR_shader_subgroup_extended_types 支持 VK_KHR_spirv_1_4 支持 VK_KHR_storage_buffer_storage_class 支持 VK_KHR_swapchain 支持 VK_KHR_swapchain_mutable_format 支持 VK_KHR_timeline_semaphore 支持 VK_KHR_uniform_buffer_standard_layout 支持 VK_KHR_variable_pointers 支持 VK_KHR_vulkan_memory_model 支持 VK_KHR_win32_keyed_mutex 支持 VK_NV_dedicated_allocation 支持 VK_NV_dedicated_allocation_image_aliasing 支持 VK_NV_device_diagnostic_checkpoints 支持 VK_NV_device_diagnostics_config 支持 VK_NV_device_generated_commands 支持 VK_NV_external_memory 支持 VK_NV_external_memory_win32 支持 VK_NV_shader_sm_builtins 支持 VK_NV_shader_subgroup_partitioned 支持 VK_NV_win32_keyed_mutex 支持 VK_NVX_multiview_per_view_attributes 支持 Instance Extensions: VK_EXT_debug_report 支持 VK_EXT_debug_utils 支持 VK_EXT_swapchain_colorspace 支持 VK_KHR_device_group_creation 支持 VK_KHR_external_fence_capabilities 支持 VK_KHR_external_memory_capabilities 支持 VK_KHR_external_semaphore_capabilities 支持 VK_KHR_get_physical_device_properties2 支持 VK_KHR_get_surface_capabilities2 支持 VK_KHR_surface 支持 VK_KHR_surface_protected_capabilities 支持 VK_KHR_win32_surface 支持 VK_NV_external_memory_capabilities 支持 设备制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ 字体 ]-------------------------------------------------------------------------------------------------------- @Fixedsys Modern s CHINESE_GB2312 10 x 20 40 % @Malgun Gothic Semilight Swiss Regular CHINESE_BIG5 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 波罗的海文 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 韩文(Johab) 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 日语 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 土耳其文 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 西里尔文 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 希伯来文 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % @Malgun Gothic Semilight Swiss Regular 越南文 39 x 53 30 % @Malgun Gothic Swiss Regular 韩文 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % @Microsoft JhengHei Light Swiss Regular CHINESE_BIG5 40 x 53 29 % @Microsoft JhengHei Light Swiss Regular 西方 40 x 53 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 40 x 53 29 % @Microsoft JhengHei UI Light Swiss Regular CHINESE_BIG5 40 x 51 29 % @Microsoft JhengHei UI Light Swiss Regular 西方 40 x 51 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 40 x 51 29 % @Microsoft JhengHei UI Swiss Regular CHINESE_BIG5 19 x 51 40 % @Microsoft JhengHei UI Swiss Regular 西方 19 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 % @Microsoft JhengHei Swiss Regular CHINESE_BIG5 19 x 53 40 % @Microsoft JhengHei Swiss Regular 西方 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % @Microsoft YaHei UI Light Swiss Regular CHINESE_GB2312 19 x 53 29 % @Microsoft YaHei UI Light Swiss Regular 土耳其文 19 x 53 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 29 % @Microsoft YaHei UI Light Swiss Regular 西里尔文 19 x 53 29 % @Microsoft YaHei UI Light Swiss Regular 希腊语 19 x 53 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 29 % @Microsoft YaHei UI Swiss Regular CHINESE_GB2312 19 x 51 40 % @Microsoft YaHei UI Swiss Regular 土耳其文 19 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 % @Microsoft YaHei UI Swiss Regular 西里尔文 19 x 51 40 % @Microsoft YaHei UI Swiss Regular 希腊语 19 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 % @MingLiU_HKSCS-ExtB Roman Regular CHINESE_BIG5 20 x 40 40 % @MingLiU_HKSCS-ExtB Roman Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @MingLiU-ExtB Roman Regular 西方 20 x 40 40 % @MS Gothic Modern Regular 波罗的海文 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @MS Gothic Modern Regular 土耳其文 20 x 40 40 % @MS Gothic Modern Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @MS Gothic Modern Regular 希腊语 20 x 40 40 % @MS Gothic Modern Regular 中欧 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % @MS PGothic Swiss Regular 日语 17 x 40 40 % @MS PGothic Swiss Regular 土耳其文 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % @MS PGothic Swiss Regular 西里尔文 17 x 40 40 % @MS PGothic Swiss Regular 希腊语 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % @MS UI Gothic Swiss Regular 波罗的海文 17 x 40 40 % @MS UI Gothic Swiss Regular 日语 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % @MS UI Gothic Swiss Regular 西方 17 x 40 40 % @MS UI Gothic Swiss Regular 西里尔文 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % @MS UI Gothic Swiss Regular 中欧 17 x 40 40 % @PMingLiU-ExtB Roman Regular CHINESE_BIG5 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @SimSun-ExtB Modern Regular CHINESE_GB2312 20 x 40 40 % @SimSun-ExtB Modern Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 9 x 20 70 % @Terminal Special l CHINESE_GB2312 10 x 20 40 % @Yu Gothic Light Swiss Regular 波罗的海文 38 x 51 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 38 x 51 30 % @Yu Gothic Light Swiss Regular 土耳其文 38 x 51 30 % @Yu Gothic Light Swiss Regular 西方 38 x 51 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 38 x 51 30 % @Yu Gothic Light Swiss Regular 希腊语 38 x 51 30 % @Yu Gothic Light Swiss Regular 中欧 38 x 51 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 50 % @Yu Gothic Medium Swiss Regular 日语 39 x 51 50 % @Yu Gothic Medium Swiss Regular 土耳其文 39 x 51 50 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 50 % @Yu Gothic Medium Swiss Regular 西里尔文 39 x 51 50 % @Yu Gothic Medium Swiss Regular 希腊语 39 x 51 50 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 50 % @Yu Gothic UI Light Swiss Regular 波罗的海文 21 x 53 30 % @Yu Gothic UI Light Swiss Regular 日语 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % @Yu Gothic UI Light Swiss Regular 西方 21 x 53 30 % @Yu Gothic UI Light Swiss Regular 西里尔文 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % @Yu Gothic UI Light Swiss Regular 中欧 21 x 53 30 % @Yu Gothic UI Semibold Swiss Regular 波罗的海文 24 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 53 60 % @Yu Gothic UI Semibold Swiss Regular 土耳其文 24 x 53 60 % @Yu Gothic UI Semibold Swiss Regular 西方 24 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 53 60 % @Yu Gothic UI Semibold Swiss Regular 希腊语 24 x 53 60 % @Yu Gothic UI Semibold Swiss Regular 中欧 24 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % @Yu Gothic UI Semilight Swiss Regular 日语 21 x 53 35 % @Yu Gothic UI Semilight Swiss Regular 土耳其文 21 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % @Yu Gothic UI Semilight Swiss Regular 西里尔文 21 x 53 35 % @Yu Gothic UI Semilight Swiss Regular 希腊语 21 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % @Yu Gothic UI Swiss Regular 波罗的海文 22 x 53 40 % @Yu Gothic UI Swiss Regular 日语 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % @Yu Gothic UI Swiss Regular 西方 22 x 53 40 % @Yu Gothic UI Swiss Regular 西里尔文 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % @Yu Gothic UI Swiss Regular 中欧 22 x 53 40 % @Yu Gothic Swiss Regular 波罗的海文 39 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 40 % @Yu Gothic Swiss Regular 土耳其文 39 x 51 40 % @Yu Gothic Swiss Regular 西方 39 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 40 % @Yu Gothic Swiss Regular 希腊语 39 x 51 40 % @Yu Gothic Swiss Regular 中欧 39 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 30 % @等线 Light Special Regular 西方 18 x 42 30 % @等线 Light Special Regular 西里尔文 18 x 42 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 30 % @等线 Light Special Regular 中欧 18 x 42 30 % @等线 Special Regular CHINESE_GB2312 18 x 42 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 40 % @等线 Special Regular 西里尔文 18 x 42 40 % @等线 Special Regular 希腊语 18 x 42 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 40 % @方正兰亭超细黑简体 Special Regular CHINESE_GB2312 20 x 44 40 % @仿宋 Modern Regular CHINESE_GB2312 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @黑体 Modern Regular CHINESE_GB2312 20 x 40 40 % @黑体 Modern Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @楷体 Modern Regular 西方 20 x 40 40 % @宋体 Special 常规 CHINESE_GB2312 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % @微软雅黑 Light Swiss Regular CHINESE_GB2312 19 x 51 29 % @微软雅黑 Light Swiss Regular 土耳其文 19 x 51 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 29 % @微软雅黑 Light Swiss Regular 西里尔文 19 x 51 29 % @微软雅黑 Light Swiss Regular 希腊语 19 x 51 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 29 % @微软雅黑 Swiss Regular CHINESE_GB2312 19 x 53 40 % @微软雅黑 Swiss Regular 土耳其文 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % @微软雅黑 Swiss Regular 西里尔文 19 x 53 40 % @微软雅黑 Swiss Regular 希腊语 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % @新宋体 Modern 常规 CHINESE_GB2312 20 x 40 40 % @新宋体 Modern 常规 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 56 90 % Arial Black Swiss Regular 土耳其文 22 x 56 90 % Arial Black Swiss Regular 西方 22 x 56 90 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 56 90 % Arial Black Swiss Regular 希腊语 22 x 56 90 % Arial Black Swiss Regular 中欧 22 x 56 90 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Arial Swiss Regular 波罗的海文 18 x 45 40 % Arial Swiss Regular 土耳其文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Arial Swiss Regular 西里尔文 18 x 45 40 % Arial Swiss Regular 希伯来文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Arial Swiss Regular 越南文 18 x 45 40 % Arial Swiss Regular 中欧 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift Condensed Swiss Condensed 土耳其文 23 x 48 40 % Bahnschrift Condensed Swiss Condensed 西方 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift Condensed Swiss Condensed 希腊语 23 x 48 40 % Bahnschrift Condensed Swiss Condensed 越南文 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift Light Condensed Swiss Light Condensed 波罗的海文 23 x 48 30 % Bahnschrift Light Condensed Swiss Light Condensed 土耳其文 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift Light Condensed Swiss Light Condensed 西里尔文 23 x 48 30 % Bahnschrift Light Condensed Swiss Light Condensed 希腊语 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift Light Condensed Swiss Light Condensed 中欧 23 x 48 30 % Bahnschrift Light SemiCondensed Swiss Light SemiCondensed 波罗的海文 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift Light SemiCondensed Swiss Light SemiCondensed 西方 23 x 48 30 % Bahnschrift Light SemiCondensed Swiss Light SemiCondensed 西里尔文 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift Light SemiCondensed Swiss Light SemiCondensed 越南文 23 x 48 30 % Bahnschrift Light SemiCondensed Swiss Light SemiCondensed 中欧 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift Light Swiss Light 土耳其文 23 x 48 30 % Bahnschrift Light Swiss Light 西方 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift Light Swiss Light 希腊语 23 x 48 30 % Bahnschrift Light Swiss Light 越南文 23 x 48 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 30 % Bahnschrift SemiBold Condensed Swiss SemiBold Condensed 波罗的海文 23 x 48 60 % Bahnschrift SemiBold Condensed Swiss SemiBold Condensed 土耳其文 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiBold Condensed Swiss SemiBold Condensed 西里尔文 23 x 48 60 % Bahnschrift SemiBold Condensed Swiss SemiBold Condensed 希腊语 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiBold Condensed Swiss SemiBold Condensed 中欧 23 x 48 60 % Bahnschrift SemiBold SemiConden Swiss SemiBold SemiCondensed 波罗的海文 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiBold SemiConden Swiss SemiBold SemiCondensed 西方 23 x 48 60 % Bahnschrift SemiBold SemiConden Swiss SemiBold SemiCondensed 西里尔文 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiBold SemiConden Swiss SemiBold SemiCondensed 越南文 23 x 48 60 % Bahnschrift SemiBold SemiConden Swiss SemiBold SemiCondensed 中欧 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiBold Swiss SemiBold 土耳其文 23 x 48 60 % Bahnschrift SemiBold Swiss SemiBold 西方 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiBold Swiss SemiBold 希腊语 23 x 48 60 % Bahnschrift SemiBold Swiss SemiBold 越南文 23 x 48 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 60 % Bahnschrift SemiCondensed Swiss SemiCondensed 波罗的海文 23 x 48 40 % Bahnschrift SemiCondensed Swiss SemiCondensed 土耳其文 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift SemiCondensed Swiss SemiCondensed 西里尔文 23 x 48 40 % Bahnschrift SemiCondensed Swiss SemiCondensed 希腊语 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift SemiCondensed Swiss SemiCondensed 中欧 23 x 48 40 % Bahnschrift SemiLight Condensed Swiss SemiLight Condensed 波罗的海文 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight Condensed Swiss SemiLight Condensed 西方 23 x 48 35 % Bahnschrift SemiLight Condensed Swiss SemiLight Condensed 西里尔文 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight Condensed Swiss SemiLight Condensed 越南文 23 x 48 35 % Bahnschrift SemiLight Condensed Swiss SemiLight Condensed 中欧 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight SemiConde Swiss SemiLight SemiCondensed 土耳其文 23 x 48 35 % Bahnschrift SemiLight SemiConde Swiss SemiLight SemiCondensed 西方 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight SemiConde Swiss SemiLight SemiCondensed 希腊语 23 x 48 35 % Bahnschrift SemiLight SemiConde Swiss SemiLight SemiCondensed 越南文 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight Swiss SemiLight 波罗的海文 23 x 48 35 % Bahnschrift SemiLight Swiss SemiLight 土耳其文 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight Swiss SemiLight 西里尔文 23 x 48 35 % Bahnschrift SemiLight Swiss SemiLight 希腊语 23 x 48 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 35 % Bahnschrift SemiLight Swiss SemiLight 中欧 23 x 48 35 % Bahnschrift Swiss Regular 波罗的海文 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift Swiss Regular 西方 23 x 48 40 % Bahnschrift Swiss Regular 西里尔文 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 48 40 % Bahnschrift Swiss Regular 越南文 23 x 48 40 % Bahnschrift Swiss Regular 中欧 23 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 30 % Calibri Light Swiss Regular 波罗的海文 21 x 49 30 % Calibri Light Swiss Regular 土耳其文 21 x 49 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 30 % Calibri Light Swiss Regular 西里尔文 21 x 49 30 % Calibri Light Swiss Regular 希伯来文 21 x 49 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 30 % Calibri Light Swiss Regular 越南文 21 x 49 30 % Calibri Light Swiss Regular 中欧 21 x 49 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Calibri Swiss Regular 波罗的海文 21 x 49 40 % Calibri Swiss Regular 土耳其文 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Calibri Swiss Regular 西里尔文 21 x 49 40 % Calibri Swiss Regular 希伯来文 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Calibri Swiss Regular 越南文 21 x 49 40 % Calibri Swiss Regular 中欧 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 223 40 % Cambria Math Roman Regular 土耳其文 25 x 223 40 % Cambria Math Roman Regular 西方 25 x 223 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 223 40 % Cambria Math Roman Regular 希腊语 25 x 223 40 % Cambria Math Roman Regular 越南文 25 x 223 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 223 40 % Cambria Roman Regular 波罗的海文 25 x 47 40 % Cambria Roman Regular 土耳其文 25 x 47 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 47 40 % Cambria Roman Regular 西里尔文 25 x 47 40 % Cambria Roman Regular 希腊语 25 x 47 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 47 40 % Cambria Roman Regular 中欧 25 x 47 40 % Candara Light Swiss Regular 波罗的海文 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Candara Light Swiss Regular 西方 21 x 49 40 % Candara Light Swiss Regular 西里尔文 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Candara Light Swiss Regular 越南文 21 x 49 40 % Candara Light Swiss Regular 中欧 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Candara Swiss Regular 土耳其文 21 x 49 40 % Candara Swiss Regular 西方 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Candara Swiss Regular 希腊语 21 x 49 40 % Candara Swiss Regular 越南文 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Comic Sans MS Script Regular 波罗的海文 19 x 56 40 % Comic Sans MS Script Regular 土耳其文 19 x 56 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 56 40 % Comic Sans MS Script Regular 西里尔文 19 x 56 40 % Comic Sans MS Script Regular 希腊语 19 x 56 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 56 40 % Consolas Modern Regular 波罗的海文 22 x 47 40 % Consolas Modern Regular 土耳其文 22 x 47 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 47 40 % Consolas Modern Regular 西里尔文 22 x 47 40 % Consolas Modern Regular 希腊语 22 x 47 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 47 40 % Consolas Modern Regular 中欧 22 x 47 40 % Constantia Roman Regular 波罗的海文 22 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 49 40 % Constantia Roman Regular 西方 22 x 49 40 % Constantia Roman Regular 西里尔文 22 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 49 40 % Constantia Roman Regular 越南文 22 x 49 40 % Constantia Roman Regular 中欧 22 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 49 30 % Corbel Light Swiss Regular 土耳其文 20 x 49 30 % Corbel Light Swiss Regular 西方 20 x 49 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 49 30 % Corbel Light Swiss Regular 希腊语 20 x 49 30 % Corbel Light Swiss Regular 越南文 20 x 49 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 49 30 % Corbel Swiss Regular 波罗的海文 21 x 49 40 % Corbel Swiss Regular 土耳其文 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Corbel Swiss Regular 西里尔文 21 x 49 40 % Corbel Swiss Regular 希腊语 21 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 49 40 % Corbel Swiss Regular 中欧 21 x 49 40 % Courier New Modern Regular 阿拉伯文 24 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 45 40 % Courier New Modern Regular 土耳其文 24 x 45 40 % Courier New Modern Regular 西方 24 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 45 40 % Courier New Modern Regular 希伯来文 24 x 45 40 % Courier New Modern Regular 希腊语 24 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 45 40 % Courier New Modern Regular 中欧 24 x 45 40 % Courier Modern 西方 8 x 13 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 31 x 171 40 % DejaVu Math TeX Gyre Special Regular 土耳其文 31 x 171 40 % DejaVu Math TeX Gyre Special Regular 西方 31 x 171 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 31 x 171 40 % DejaVu Math TeX Gyre Special Regular 中欧 31 x 171 40 % Ebrima Special Regular 波罗的海文 24 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 53 40 % Ebrima Special Regular 西方 24 x 53 40 % Ebrima Special Regular 中欧 24 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 10 x 20 40 % Franklin Gothic Medium Swiss Regular 波罗的海文 17 x 45 40 % Franklin Gothic Medium Swiss Regular 土耳其文 17 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 45 40 % Franklin Gothic Medium Swiss Regular 西里尔文 17 x 45 40 % Franklin Gothic Medium Swiss Regular 希腊语 17 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 45 40 % Gabriola Decorative Regular 波罗的海文 20 x 74 40 % Gabriola Decorative Regular 土耳其文 20 x 74 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 74 40 % Gabriola Decorative Regular 西里尔文 20 x 74 40 % Gabriola Decorative Regular 希腊语 20 x 74 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 74 40 % Gadugi Swiss Regular 西方 26 x 53 40 % Georgia Roman Regular 波罗的海文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Georgia Roman Regular 西方 18 x 45 40 % Georgia Roman Regular 西里尔文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Georgia Roman Regular 中欧 18 x 45 40 % HoloLens MDL2 Assets Roman Regular 西方 42 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 36 x 40 40 % Impact Swiss Regular 波罗的海文 24 x 49 40 % Impact Swiss Regular 土耳其文 24 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 49 40 % Impact Swiss Regular 西里尔文 24 x 49 40 % Impact Swiss Regular 希腊语 24 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 49 40 % Ink Free Script Regular 西方 21 x 50 40 % Javanese Text Special Regular 西方 33 x 91 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % Leelawadee UI Semilight Swiss Regular 西方 21 x 53 35 % Leelawadee UI Semilight Swiss Regular 越南文 21 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % Leelawadee UI Swiss Regular 西方 22 x 53 40 % Leelawadee UI Swiss Regular 越南文 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 40 40 % Lucida Console Modern Regular 西方 24 x 40 40 % Lucida Console Modern Regular 西里尔文 24 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 40 40 % Lucida Console Modern Regular 中欧 24 x 40 40 % Lucida Sans Unicode Swiss Regular 波罗的海文 20 x 61 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 61 40 % Lucida Sans Unicode Swiss Regular 西方 20 x 61 40 % Lucida Sans Unicode Swiss Regular 西里尔文 20 x 61 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 61 40 % Lucida Sans Unicode Swiss Regular 希腊语 20 x 61 40 % Lucida Sans Unicode Swiss Regular 中欧 20 x 61 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % Malgun Gothic Semilight Swiss Regular CHINESE_GB2312 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 波罗的海文 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 韩文 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 日语 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 西方 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 西里尔文 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 希腊语 39 x 53 30 % Malgun Gothic Semilight Swiss Regular 越南文 39 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % Malgun Gothic Swiss Regular 西方 19 x 53 40 % Marlett Special Regular 符号 38 x 40 50 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 16 x 40 40 % Microsoft JhengHei Light Swiss Regular CHINESE_BIG5 40 x 53 29 % Microsoft JhengHei Light Swiss Regular 西方 40 x 53 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 40 x 53 29 % Microsoft JhengHei UI Light Swiss Regular CHINESE_BIG5 40 x 51 29 % Microsoft JhengHei UI Light Swiss Regular 西方 40 x 51 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 40 x 51 29 % Microsoft JhengHei UI Swiss Regular CHINESE_BIG5 19 x 51 40 % Microsoft JhengHei UI Swiss Regular 西方 19 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 % Microsoft JhengHei Swiss Regular CHINESE_BIG5 19 x 53 40 % Microsoft JhengHei Swiss Regular 西方 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % Microsoft New Tai Lue Swiss Regular 西方 23 x 52 40 % Microsoft PhagsPa Swiss Regular 西方 30 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Microsoft Sans Serif Swiss Regular 波罗的海文 18 x 45 40 % Microsoft Sans Serif Swiss Regular 泰文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Microsoft Sans Serif Swiss Regular 西方 18 x 45 40 % Microsoft Sans Serif Swiss Regular 西里尔文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Microsoft Sans Serif Swiss Regular 希腊语 18 x 45 40 % Microsoft Sans Serif Swiss Regular 越南文 18 x 45 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 45 40 % Microsoft Tai Le Swiss Regular 西方 23 x 51 40 % Microsoft YaHei UI Light Swiss Regular CHINESE_GB2312 19 x 53 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 29 % Microsoft YaHei UI Light Swiss Regular 西方 19 x 53 29 % Microsoft YaHei UI Light Swiss Regular 西里尔文 19 x 53 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 29 % Microsoft YaHei UI Light Swiss Regular 中欧 19 x 53 29 % Microsoft YaHei UI Swiss Regular CHINESE_GB2312 19 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 % Microsoft YaHei UI Swiss Regular 西方 19 x 51 40 % Microsoft YaHei UI Swiss Regular 西里尔文 19 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 40 % Microsoft YaHei UI Swiss Regular 中欧 19 x 51 40 % Microsoft Yi Baiti Script Regular 西方 26 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % MingLiU_HKSCS-ExtB Roman Regular 西方 20 x 40 40 % MingLiU-ExtB Roman Regular CHINESE_BIG5 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % Modern Modern OEM/DOS 24 x 46 40 % Mongolian Baiti Script Regular 西方 17 x 43 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % MS Gothic Modern Regular 日语 20 x 40 40 % MS Gothic Modern Regular 土耳其文 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % MS Gothic Modern Regular 西里尔文 20 x 40 40 % MS Gothic Modern Regular 希腊语 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % MS PGothic Swiss Regular 波罗的海文 17 x 40 40 % MS PGothic Swiss Regular 日语 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % MS PGothic Swiss Regular 西方 17 x 40 40 % MS PGothic Swiss Regular 西里尔文 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % MS PGothic Swiss Regular 中欧 17 x 40 40 % MS Sans Serif Swiss 西方 5 x 13 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 5 x 13 40 % MS UI Gothic Swiss Regular 波罗的海文 17 x 40 40 % MS UI Gothic Swiss Regular 日语 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % MS UI Gothic Swiss Regular 西方 17 x 40 40 % MS UI Gothic Swiss Regular 西里尔文 17 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 40 40 % MS UI Gothic Swiss Regular 中欧 17 x 40 40 % MV Boli Special Regular 西方 22 x 64 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 74 40 % Nirmala UI Semilight Swiss Regular 西方 38 x 53 35 % Nirmala UI Swiss Regular 西方 39 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 54 40 % Palatino Linotype Roman Regular 土耳其文 18 x 54 40 % Palatino Linotype Roman Regular 西方 18 x 54 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 54 40 % Palatino Linotype Roman Regular 希腊语 18 x 54 40 % Palatino Linotype Roman Regular 越南文 18 x 54 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 54 40 % PMingLiU-ExtB Roman Regular CHINESE_BIG5 20 x 40 40 % PMingLiU-ExtB Roman Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 27 x 46 40 % Script Script OEM/DOS 21 x 45 40 % Segoe MDL2 Assets Roman Regular 西方 41 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 26 x 70 40 % Segoe Print Special Regular 土耳其文 26 x 70 40 % Segoe Print Special Regular 西方 26 x 70 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 26 x 70 40 % Segoe Print Special Regular 希腊语 26 x 70 40 % Segoe Print Special Regular 中欧 26 x 70 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 27 x 63 40 % Segoe Script Script Regular 土耳其文 27 x 63 40 % Segoe Script Script Regular 西方 27 x 63 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 27 x 63 40 % Segoe Script Script Regular 希腊语 27 x 63 40 % Segoe Script Script Regular 中欧 27 x 63 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 53 90 % Segoe UI Black Swiss Regular 土耳其文 25 x 53 90 % Segoe UI Black Swiss Regular 西方 25 x 53 90 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 53 90 % Segoe UI Black Swiss Regular 希腊语 25 x 53 90 % Segoe UI Black Swiss Regular 越南文 25 x 53 90 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 25 x 53 90 % Segoe UI Emoji Swiss Regular 西方 50 x 53 40 % Segoe UI Historic Swiss Regular 西方 33 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % Segoe UI Light Swiss Regular 波罗的海文 21 x 53 30 % Segoe UI Light Swiss Regular 土耳其文 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % Segoe UI Light Swiss Regular 西里尔文 21 x 53 30 % Segoe UI Light Swiss Regular 希伯来文 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % Segoe UI Light Swiss Regular 越南文 21 x 53 30 % Segoe UI Light Swiss Regular 中欧 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 53 60 % Segoe UI Semibold Swiss Regular 波罗的海文 23 x 53 60 % Segoe UI Semibold Swiss Regular 土耳其文 23 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 53 60 % Segoe UI Semibold Swiss Regular 西里尔文 23 x 53 60 % Segoe UI Semibold Swiss Regular 希伯来文 23 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 53 60 % Segoe UI Semibold Swiss Regular 越南文 23 x 53 60 % Segoe UI Semibold Swiss Regular 中欧 23 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 53 35 % Segoe UI Semilight Swiss Regular 波罗的海文 23 x 53 35 % Segoe UI Semilight Swiss Regular 土耳其文 23 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 53 35 % Segoe UI Semilight Swiss Regular 西里尔文 23 x 53 35 % Segoe UI Semilight Swiss Regular 希伯来文 23 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 53 35 % Segoe UI Semilight Swiss Regular 越南文 23 x 53 35 % Segoe UI Semilight Swiss Regular 中欧 23 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 28 x 53 40 % Segoe UI Swiss Regular 阿拉伯文 22 x 53 40 % Segoe UI Swiss Regular 波罗的海文 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % Segoe UI Swiss Regular 西方 22 x 53 40 % Segoe UI Swiss Regular 西里尔文 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % Segoe UI Swiss Regular 希腊语 22 x 53 40 % Segoe UI Swiss Regular 越南文 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % SimSun-ExtB Modern Regular CHINESE_GB2312 20 x 40 40 % SimSun-ExtB Modern Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 58 40 % Sitka Banner Special Regular 土耳其文 20 x 58 40 % Sitka Banner Special Regular 西方 20 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 58 40 % Sitka Banner Special Regular 希腊语 20 x 58 40 % Sitka Banner Special Regular 越南文 20 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 58 40 % Sitka Display Special Regular 波罗的海文 21 x 58 40 % Sitka Display Special Regular 土耳其文 21 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 58 40 % Sitka Display Special Regular 西里尔文 21 x 58 40 % Sitka Display Special Regular 希腊语 21 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 58 40 % Sitka Display Special Regular 中欧 21 x 58 40 % Sitka Heading Special Regular 波罗的海文 22 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 58 40 % Sitka Heading Special Regular 西方 22 x 58 40 % Sitka Heading Special Regular 西里尔文 22 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 58 40 % Sitka Heading Special Regular 越南文 22 x 58 40 % Sitka Heading Special Regular 中欧 22 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 26 x 59 40 % Sitka Small Special Regular 土耳其文 26 x 59 40 % Sitka Small Special Regular 西方 26 x 59 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 26 x 59 40 % Sitka Small Special Regular 希腊语 26 x 59 40 % Sitka Small Special Regular 越南文 26 x 59 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 26 x 59 40 % Sitka Subheading Special Regular 波罗的海文 23 x 58 40 % Sitka Subheading Special Regular 土耳其文 23 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 58 40 % Sitka Subheading Special Regular 西里尔文 23 x 58 40 % Sitka Subheading Special Regular 希腊语 23 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 23 x 58 40 % Sitka Subheading Special Regular 中欧 23 x 58 40 % Sitka Text Special Regular 波罗的海文 24 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 58 40 % Sitka Text Special Regular 西方 24 x 58 40 % Sitka Text Special Regular 西里尔文 24 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 58 40 % Sitka Text Special Regular 越南文 24 x 58 40 % Sitka Text Special Regular 中欧 24 x 58 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 1 x 3 40 % Sylfaen Roman Regular 波罗的海文 17 x 53 40 % Sylfaen Roman Regular 土耳其文 17 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 53 40 % Sylfaen Roman Regular 西里尔文 17 x 53 40 % Sylfaen Roman Regular 希腊语 17 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 17 x 53 40 % Symbol Roman Regular 符号 24 x 49 40 % System Swiss CHINESE_GB2312 9 x 20 70 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 48 40 % Tahoma Swiss Regular 波罗的海文 18 x 48 40 % Tahoma Swiss Regular 泰文 18 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 48 40 % Tahoma Swiss Regular 西方 18 x 48 40 % Tahoma Swiss Regular 西里尔文 18 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 48 40 % Tahoma Swiss Regular 希腊语 18 x 48 40 % Tahoma Swiss Regular 越南文 18 x 48 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 48 40 % Terminal Special CHINESE_GB2312 10 x 20 40 % Times New Roman Roman Regular 阿拉伯文 16 x 44 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 16 x 44 40 % Times New Roman Roman Regular 土耳其文 16 x 44 40 % Times New Roman Roman Regular 西方 16 x 44 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 16 x 44 40 % Times New Roman Roman Regular 希伯来文 16 x 44 40 % Times New Roman Roman Regular 希腊语 16 x 44 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 16 x 44 40 % Times New Roman Roman Regular 中欧 16 x 44 40 % Trebuchet MS Swiss Regular 波罗的海文 18 x 46 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 46 40 % Trebuchet MS Swiss Regular 西方 18 x 46 40 % Trebuchet MS Swiss Regular 西里尔文 18 x 46 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 46 40 % Trebuchet MS Swiss Regular 中欧 18 x 46 40 % Verdana Swiss Regular 波罗的海文 20 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 49 40 % Verdana Swiss Regular 西方 20 x 49 40 % Verdana Swiss Regular 西里尔文 20 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 49 40 % Verdana Swiss Regular 越南文 20 x 49 40 % Verdana Swiss Regular 中欧 20 x 49 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 40 40 % Wingdings Special Regular 符号 36 x 44 40 % Yu Gothic Light Swiss Regular 波罗的海文 38 x 51 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 38 x 51 30 % Yu Gothic Light Swiss Regular 土耳其文 38 x 51 30 % Yu Gothic Light Swiss Regular 西方 38 x 51 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 38 x 51 30 % Yu Gothic Light Swiss Regular 希腊语 38 x 51 30 % Yu Gothic Light Swiss Regular 中欧 38 x 51 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 50 % Yu Gothic Medium Swiss Regular 日语 39 x 51 50 % Yu Gothic Medium Swiss Regular 土耳其文 39 x 51 50 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 50 % Yu Gothic Medium Swiss Regular 西里尔文 39 x 51 50 % Yu Gothic Medium Swiss Regular 希腊语 39 x 51 50 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 50 % Yu Gothic UI Light Swiss Regular 波罗的海文 21 x 53 30 % Yu Gothic UI Light Swiss Regular 日语 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % Yu Gothic UI Light Swiss Regular 西方 21 x 53 30 % Yu Gothic UI Light Swiss Regular 西里尔文 21 x 53 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 30 % Yu Gothic UI Light Swiss Regular 中欧 21 x 53 30 % Yu Gothic UI Semibold Swiss Regular 波罗的海文 24 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 53 60 % Yu Gothic UI Semibold Swiss Regular 土耳其文 24 x 53 60 % Yu Gothic UI Semibold Swiss Regular 西方 24 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 24 x 53 60 % Yu Gothic UI Semibold Swiss Regular 希腊语 24 x 53 60 % Yu Gothic UI Semibold Swiss Regular 中欧 24 x 53 60 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % Yu Gothic UI Semilight Swiss Regular 日语 21 x 53 35 % Yu Gothic UI Semilight Swiss Regular 土耳其文 21 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % Yu Gothic UI Semilight Swiss Regular 西里尔文 21 x 53 35 % Yu Gothic UI Semilight Swiss Regular 希腊语 21 x 53 35 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 21 x 53 35 % Yu Gothic UI Swiss Regular 波罗的海文 22 x 53 40 % Yu Gothic UI Swiss Regular 日语 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % Yu Gothic UI Swiss Regular 西方 22 x 53 40 % Yu Gothic UI Swiss Regular 西里尔文 22 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 22 x 53 40 % Yu Gothic UI Swiss Regular 中欧 22 x 53 40 % Yu Gothic Swiss Regular 波罗的海文 39 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 40 % Yu Gothic Swiss Regular 土耳其文 39 x 51 40 % Yu Gothic Swiss Regular 西方 39 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 39 x 51 40 % Yu Gothic Swiss Regular 希腊语 39 x 51 40 % Yu Gothic Swiss Regular 中欧 39 x 51 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 30 % 等线 Light Special Regular 西方 18 x 42 30 % 等线 Light Special Regular 西里尔文 18 x 42 30 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 30 % 等线 Light Special Regular 中欧 18 x 42 30 % 等线 Special Regular CHINESE_GB2312 18 x 42 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 40 % 等线 Special Regular 西里尔文 18 x 42 40 % 等线 Special Regular 希腊语 18 x 42 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 18 x 42 40 % 方正兰亭超细黑简体 Special Regular CHINESE_GB2312 20 x 44 40 % 仿宋 Modern Regular CHINESE_GB2312 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % 黑体 Modern Regular CHINESE_GB2312 20 x 40 40 % 黑体 Modern Regular 西方 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % 楷体 Modern Regular 西方 20 x 40 40 % 宋体 Special 常规 CHINESE_GB2312 20 x 40 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 20 x 40 40 % 微软雅黑 Light Swiss Regular CHINESE_GB2312 19 x 51 29 % 微软雅黑 Light Swiss Regular 土耳其文 19 x 51 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 29 % 微软雅黑 Light Swiss Regular 西里尔文 19 x 51 29 % 微软雅黑 Light Swiss Regular 希腊语 19 x 51 29 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 51 29 % 微软雅黑 Swiss Regular CHINESE_GB2312 19 x 53 40 % 微软雅黑 Swiss Regular 土耳其文 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % 微软雅黑 Swiss Regular 西里尔文 19 x 53 40 % 微软雅黑 Swiss Regular 希腊语 19 x 53 40 % [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 19 x 53 40 % 新宋体 Modern 常规 CHINESE_GB2312 20 x 40 40 % 新宋体 Modern 常规 西方 20 x 40 40 % --------[ Windows 音频 ]------------------------------------------------------------------------------------------------ midi-out.0 0001 001B Microsoft GS Wavetable Synth mixer.0 0001 0068 扬声器 (Realtek High Definition mixer.1 0001 0068 麦克风 (Realtek High Definition wave-in.0 0001 0065 麦克风 (Realtek High Definition wave-out.0 0001 0064 扬声器 (Realtek High Definition --------[ PCI/PnP 音频 ]------------------------------------------------------------------------------------------------ Realtek ALC283 @ Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] PCI --------[ HD Audio ]---------------------------------------------------------------------------------------------------- [ Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] 设备描述 (Windows) High Definition Audio 控制器 总线类型 PCI 总线/设备/功能 0 / 27 / 0 设备 ID 8086-9C20 子系统 ID 1025-091B 修订 04 硬件 ID PCI\VEN_8086&DEV_9C20&SUBSYS_091B1025&REV_04 设备制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Realtek ALC283 ] 设备属性: 设备描述 Realtek ALC283 设备描述 (Windows) Realtek High Definition Audio 设备类型 Audio 总线类型 HDAUDIO 设备 ID 10EC-0283 子系统 ID 1025-091B 修订 1000 硬件 ID HDAUDIO\FUNC_01&VEN_10EC&DEV_0283&SUBSYS_1025091B&REV_1000 设备制造商: 公司名称 Realtek Semiconductor Corp. 产品信息 https://www.realtek.com/products 驱动程序下载 https://www.realtek.com/downloads 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ 音频编码解码器 ]---------------------------------------------------------------------------------------------- [ Fraunhofer IIS MPEG Layer-3 Codec (decode only) ] ACM 驱动程序: 描述 Fraunhofer IIS MPEG Layer-3 Codec (decode only) 版权 Copyright ? 1996-1999 Fraunhofer Institut Integrierte Schaltungen IIS 驱动程序特征 decoder only version 驱动程序版本 1.09 [ Microsoft ADPCM CODEC ] ACM 驱动程序: 描述 Microsoft ADPCM CODEC 版权 版权所有 (C) 1992-1996 Microsoft Corporation 驱动程序特征 压缩和解压缩 Microsoft ADPCM 音频数据。 驱动程序版本 4.00 [ Microsoft CCITT G.711 A-Law and u-Law CODEC ] ACM 驱动程序: 描述 Microsoft CCITT G.711 A-Law and u-Law CODEC 版权 Copyright (c) 1993-1996 Microsoft Corporation 驱动程序特征 压缩和解压缩 CCITT G.711 A-Law 和 u-Law 音频数据。 驱动程序版本 4.00 [ Microsoft GSM 6.10 Audio CODEC ] ACM 驱动程序: 描述 Microsoft GSM 6.10 Audio CODEC 版权 Copyright (C) 1993-1996 Microsoft Corporation 驱动程序特征 压缩和解压缩音频数据遵从 ETSI-GSM (European Telecommunications Standards Institute-Groupe Special Mobile) 建议 6.10。 驱动程序版本 4.00 [ Microsoft IMA ADPCM CODEC ] ACM 驱动程序: 描述 Microsoft IMA ADPCM CODEC 版权 Copyright (C) 1992-1996 Microsoft Corporation 驱动程序特征 压缩和解压缩 IMA ADPCM 音频数据。 驱动程序版本 4.00 [ Microsoft PCM Converter ] ACM 驱动程序: 描述 Microsoft PCM Converter 版权 Copyright (C) 1992-1996 Microsoft Corporation 驱动程序特征 转换频率以及每个 PCM 音频数据采样的位数。 驱动程序版本 5.00 --------[ 视频编码解码器 ]---------------------------------------------------------------------------------------------- iyuv_32.dll 10.0.19041.1645 (WinBuild.160101.0800) Intel Indeo(R) Video YUV 编码解码器 msrle32.dll 10.0.19041.1 (WinBuild.160101.0800) Microsoft RLE Compressor [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] msyuv.dll 10.0.19041.1 (WinBuild.160101.0800) Microsoft UYVY Video Decompressor tsbyuv.dll 10.0.19041.1 (WinBuild.160101.0800) Toshiba Video Codec --------[ MCI ]--------------------------------------------------------------------------------------------------------- [ AVIVideo ] 媒体控制接口(MCI)设备属性: 设备 AVIVideo 名称 Video for Windows 描述 Video For Windows MCI 驱动程序 类型 Digital Video Device 驱动程序 mciavi32.dll 状态 已启用 媒体控制接口特性: 复合设备 是 基于文件的设备 是 可弹出 否 可播放 是 可反向播放 是 可录制 否 可保存数据 否 可冻结数据 否 可锁定数据 否 可延伸框架 是 可延伸输入 否 可测试 是 音频功能 是 视频功能 是 静像功能 否 [ CDAudio ] 媒体控制接口(MCI)设备属性: 设备 CDAudio 描述 cdaudio 设备的 MCI 驱动程序 驱动程序 mcicda.dll 状态 已启用 [ MPEGVideo ] 媒体控制接口(MCI)设备属性: 设备 MPEGVideo 名称 DirectShow 描述 DirectShow MCI 驱动程序 类型 Digital Video Device 驱动程序 mciqtz32.dll 状态 已启用 媒体控制接口特性: 复合设备 是 基于文件的设备 是 可弹出 否 可播放 是 可反向播放 否 可录制 否 可保存数据 否 可冻结数据 否 可锁定数据 否 可延伸框架 是 可延伸输入 否 可测试 是 音频功能 是 视频功能 是 静像功能 否 [ Sequencer ] 媒体控制接口(MCI)设备属性: 设备 Sequencer 名称 MIDI 排序器 描述 MIDI 顺序器的 MCI 驱动程序 类型 Sequencer Device 驱动程序 mciseq.dll 状态 已启用 媒体控制接口特性: 复合设备 是 基于文件的设备 是 可弹出 否 可播放 是 可录制 否 可保存数据 否 音频功能 是 视频功能 否 [ WaveAudio ] 媒体控制接口(MCI)设备属性: 设备 WaveAudio 名称 Sound 描述 波形音频的 MCI 驱动程序 类型 Waveform Audio Device 驱动程序 mciwave.dll 状态 已启用 媒体控制接口特性: 复合设备 是 基于文件的设备 是 可弹出 否 可播放 是 可录制 是 可保存数据 是 音频功能 是 视频功能 否 --------[ SAPI ]-------------------------------------------------------------------------------------------------------- 语音 API 属性: SAPI4 版本 - SAPI5 版本 5.3.24509.0 语音 (SAPI5): 名称 Microsoft Huihui Desktop - Chinese (Simplified) 文件路径 C:\Windows\Speech_OneCore\Engines\TTS\zh-CN\M2052Huihui 年龄 成年 性别 女 语言 中文(简体,中国) 厂商 Microsoft 版本 11.0 DLL 文件 C:\Windows\SysWOW64\speech_onecore\engines\tts\MSTTSEngine_OneCore.dll (x86) CLSID {179F3D56-1B0B-42B2-A962-59B7EF59FE1B} 语音 (SAPI5): 名称 Microsoft Zira Desktop - English (United States) 文件路径 C:\Windows\Speech\Engines\TTS\en-US\M1033ZIR 年龄 成年 性别 女 语言 英语(美国) 厂商 Microsoft 版本 11.0 DLL 文件 C:\Windows\SysWOW64\speech\engines\tts\MSTTSEngine.dll (x86) CLSID {C64501F6-E6E6-451f-A150-25D0839BC510} 语音识别 (SAPI5): 名称 Microsoft Speech Recognizer 8.0 for Windows (Chinese Simplified - PRC) 描述 Microsoft Speech Recognizer 8.0 for Windows (简体中文 - 中国) FE Config Data File C:\Windows\Speech\Engines\SR\zh-CN\c2052dsk.fe 语言 中文(简体,中国) 语言风格 Discrete;Continuous 支持的语言环境 中文(简体,中国); 中文(简体,新加坡); 中文(简体) 厂商 Microsoft 版本 8.0 DLL 文件 C:\Windows\System32\Speech\Engines\SR\spsreng.dll (x64) CLSID {DAC9F469-0C67-4643-9258-87EC128C5941} RecoExtension {4F4DB904-CA35-4A3A-90AF-C9D8BE7532AC} --------[ Windows 存储 ]------------------------------------------------------------------------------------------------ [ WDC WD5000LPVX-22V0TT0 ] 设备属性: 描述 WDC WD5000LPVX-22V0TT0 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 disk.inf INF Section disk_install.NT [ 标准 SATA AHCI 控制器 ] 设备属性: 描述 Standard SATA AHCI Controller 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 mshdc.inf INF Section msahci_Inst 资源: IRQ 65536 内存 B371B000-B371B7FF I/O 端口 5060-507F I/O 端口 5080-5087 I/O 端口 5088-508F I/O 端口 5090-5093 I/O 端口 5094-5097 [ Microsoft 存储空间控制器 ] 设备属性: 描述 Microsoft Storage Spaces Controller 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 spaceport.inf INF Section Spaceport_Install --------[ 逻辑驱动器 ]-------------------------------------------------------------------------------------------------- [ TRIAL VERSION ] 本地驱动器 NTFS [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] D: (2) 本地驱动器 NTFS 132096 MB 80177 MB 51919 MB 39 % 0007-ECE8 E: (3) 本地驱动器 NTFS 132096 MB 28222 MB 103874 MB 79 % 0004-67C9 F: (4) 本地驱动器 NTFS 130821 MB 30283 MB 100538 MB 77 % 0000-F8A0 --------[ 物理驱动器 ]-------------------------------------------------------------------------------------------------- [ #1 驱动器 - WDC WD5000LPVX-22V0TT0 (WD-WX61A747PFXV) [465 GB] C: D: E: F: ] #1 (活动) NTFS C: 0 MB 81920 MB #2 NTFS D: (2) 81922 MB 132097 MB #3 NTFS E: (3) 214020 MB 132097 MB #4 NTFS F: (4) 346118 MB 130822 MB --------[ ASPI ]-------------------------------------------------------------------------------------------------------- 00 00 00 硬盘驱动器 WDC WD5000LPVX-22V0T 01.0 00 07 00 主机适配卡 storahci --------[ ATA ]--------------------------------------------------------------------------------------------------------- [ WDC WD5000LPVX-22V0TT0 (WD-WX61A747PFXV) ] ATA 设备信息: 型号 ID WDC WD5000LPVX-22V0TT0 序列号 WD-WX61A747PFXV 修订 01.01A01 World Wide Name 5-0014EE-604E2E14E 设备类型 SATA-III 参数 969021 柱面, 16 磁头, 63 扇区/磁道, 512 字节/扇区 LBA 扇区 976773168 物理/逻辑扇区大小 4 KB / 512 字节 缓存 8 MB 多扇区 16 最大 PIO 传输模式 PIO 4 最大 MWDMA 传输模式 MWDMA 2 当前 MWDMA 传输模式 MWDMA 0 最大 UDMA 传输模式 UDMA 6 未格式化容量 476940 MB 盘片转速 5400 RPM ATA 标准 ACS-2 ATA 设备特性: 48-bit LBA 支持, 已启用 Automatic Acoustic Management (AAM) 不支持 Device Configuration Overlay (DCO) 支持, 已启用 DMA Setup Auto-Activate 支持, 已禁用 Free-Fall Control 不支持 General Purpose Logging (GPL) 支持, 已启用 Hardware Feature Control 不支持 Host Protected Area (HPA) 支持, 已启用 HPA Security Extensions 支持, 已禁用 Hybrid Information Feature 不支持 In-Order Data Delivery 不支持 Native Command Queuing (NCQ) 支持 NCQ Autosense 不支持 NCQ Priority Information 支持 NCQ Queue Management Command 不支持 NCQ Streaming 不支持 Phy Event Counters 支持 Read Look-Ahead 支持, 已启用 Release Interrupt 不支持 安全模式 支持, 已禁用 Sense Data Reporting (SDR) 不支持 Service Interrupt 不支持 SMART 支持, 已启用 SMART Error Logging 支持, 已启用 SMART Self-Test 支持, 已启用 Software Settings Preservation (SSP) 支持, 已启用 Streaming 不支持 Tagged Command Queuing (TCQ) 不支持 写入缓存 支持, 已启用 Write-Read-Verify 不支持 SSD 信息: Data Set Management 不支持 Deterministic Read After TRIM 不支持 TRIM 命令 不支持 电源管理特性: 高级电源管理(APM) 支持, 已启用 Automatic Partial to Slumber Transitions (APST) 已禁用 Device Initiated Interface Power Management (DIPM)支持, 已禁用 Device Sleep (DEVSLP) 不支持 Extended Power Conditions (EPC) 不支持 Host Initiated Interface Power Management (HIPM) 支持 IDLE IMMEDIATE With UNLOAD FEATURE 支持, 已启用 Link Power State Device Sleep 不支持 电源管理 支持, 已启用 Power-Up In Standby (PUIS) 支持, 已禁用 ATA 指令: DEVICE RESET 不支持 DOWNLOAD MICROCODE 支持, 已启用 FLUSH CACHE 支持, 已启用 FLUSH CACHE EXT 支持, 已启用 NOP 支持, 已启用 READ BUFFER 支持, 已启用 WRITE BUFFER 支持, 已启用 设备物理信息: 制造商 Western Digital 家族名称 Scorpio Blue 形状特征 2.5" 格式化容量 500 GB 外形尺寸 100.2 x 69.85 x 7 mm 最大重量 90 g 平均延迟时间(潜伏期) 5.5 ms 盘片转速 5400 RPM 最大内部数据传输率 1176 兆比特/秒 接口类型 SATA-III 缓存到主机传输率 600 MB/秒 缓存大小 8 MB 起旋时间 2.8 秒 设备制造商: 公司名称 Western Digital Corporation 产品信息 https://www.wdc.com/products/internal-storage.html 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ SMART ]------------------------------------------------------------------------------------------------------- [ WDC WD5000LPVX-22V0TT0 (WD-WX61A747PFXV) ] 01 Raw Read Error Rate 51 200 200 370 良好:值正常 03 Spinup Time 21 150 143 1475 良好:值正常 04 Start/Stop Count 0 78 78 22528 良好:持续正常 05 Reallocated Sector Count 140 200 200 0 良好:值正常 07 Seek Error Rate 0 200 200 0 良好:持续正常 09 Power-On Time Count 0 84 84 12066 良好:持续正常 0A Spinup Retry Count 0 100 100 0 良好:持续正常 0B Calibration Retry Count 0 100 100 0 良好:持续正常 0C Power Cycle Count 0 95 95 5147 良好:持续正常 BF Mechanical Shock 0 83 83 17 良好:持续正常 C0 Power-Off Retract Count 0 200 200 182 良好:持续正常 C1 Load/Unload Cycle Count 0 173 173 82571 良好:持续正常 C2 Temperature 0 108 88 35 良好:持续正常 C4 Reallocation Event Count 0 200 200 0 良好:持续正常 C5 Current Pending Sector Count 0 200 200 0 良好:持续正常 C6 Offline Uncorrectable Sector Count 0 100 253 0 良好:持续正常 C7 Ultra ATA CRC Error Rate 0 200 200 0 良好:持续正常 C8 Write Error Rate 0 100 253 0 良好:持续正常 --------[ Windows 网络 ]------------------------------------------------------------------------------------------------ [ Bluetooth Device (Personal Area Network) ] 网络适配器信息: 网络适配器 Bluetooth Device (Personal Area Network) 接口类型 Bluetooth Ethernet 硬件地址(MAC) C0-38-96-75-5C-B8 连接名称 蓝牙网络连接 连接速度 3 Mbps MTU 1500 字节 已接收字节 0 已发送字节 0 [ Microsoft Wi-Fi Direct Virtual Adapter #2 ] 网络适配器信息: 网络适配器 Microsoft Wi-Fi Direct Virtual Adapter #2 接口类型 802.11 Wireless Ethernet 硬件地址(MAC) 22-38-96-75-5C-B7 连接名称 本地连接* 2 MTU 1500 字节 已接收字节 0 已发送字节 0 WLAN 属性: 网络类型 底层 [ Microsoft Wi-Fi Direct Virtual Adapter ] 网络适配器信息: 网络适配器 Microsoft Wi-Fi Direct Virtual Adapter 接口类型 802.11 Wireless Ethernet 硬件地址(MAC) 12-38-96-75-5C-B7 连接名称 本地连接* 1 MTU 1500 字节 已接收字节 0 已发送字节 0 [ Qualcomm Atheros AR5BWB222 Wireless Network Adapter ] 网络适配器信息: 网络适配器 Qualcomm Atheros AR5BWB222 Wireless Network Adapter 接口类型 802.11 Wireless Ethernet 硬件地址(MAC) C0-38-96-75-5C-B7 连接名称 WLAN 连接速度 270 Mbps MTU 1500 字节 DHCP 租约获取 2022/4/29 22:38:24 DHCP 租约超期 2022/4/30 22:38:24 已接收字节 1087581022 (1037.2 MB) 已发送字节 38718472 (36.9 MB) 网络适配器地址: IP 地址/子网掩码 [ TRIAL VERSION ] 网关地址 [ TRIAL VERSION ] DHCP [ TRIAL VERSION ] DNS [ TRIAL VERSION ] WLAN 属性: 网络类型 底层 SSID 105 BSSID 54-0D-F9-BA-64-24 认证算法 WPA2-PSK 加密算法 CCMP 信道 6 (2437 MHz) 信号强度 -44 dBm(极强) 发送速率 270 Mbps 接收速率 270 Mbps 网络适配器制造商: 公司名称 Qualcomm Technologies, Inc. 产品信息 https://www.qualcomm.com/solutions/networking 驱动程序下载 https://www.qualcomm.com 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Realtek PCIe GbE Family Controller ] 网络适配器信息: 网络适配器 Realtek PCIe GbE Family Controller 接口类型 Ethernet 硬件地址(MAC) 20-6A-8A-A2-EF-58 连接名称 以太网 MTU 1500 字节 已接收字节 0 已发送字节 0 网络适配器制造商: 公司名称 Realtek Semiconductor Corp. 产品信息 https://www.realtek.com/products 驱动程序下载 https://www.realtek.com/downloads 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ PCI/PnP 网络 ]------------------------------------------------------------------------------------------------ Atheros AR5BWB222 Wireless Network Adapter PCI Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter (PHY: Realtek RTL8111) PCI --------[ Internet ]---------------------------------------------------------------------------------------------------- Internet 设置: 起始页面 https://hao.qq.com/?unc=Af31026&s=o400493_1 搜索页面 http://go.microsoft.com/fwlink/?LinkId=54896 本地页 %11%\blank.htm 下载文件夹 当前代理服务器: 代理服务器状态 已禁用 局域网代理服务器: 代理服务器状态 已禁用 --------[ 路由 ]-------------------------------------------------------------------------------------------------------- 活动 0.0.0.0 0.0.0.0 192.168.2.1 45 192.168.2.9 (Qualcomm Atheros AR5BWB222 Wireless Network Adapter) 活动 127.0.0.0 255.0.0.0 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1) 活动 [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 331 [ TRIAL VERSION ] 活动 127.255.255.255 255.255.255.255 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1) 活动 192.168.2.0 255.255.255.0 192.168.2.9 301 192.168.2.9 (Qualcomm Atheros AR5BWB222 Wireless Network Adapter) 活动 [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 301 [ TRIAL VERSION ] 活动 192.168.2.255 255.255.255.255 192.168.2.9 301 192.168.2.9 (Qualcomm Atheros AR5BWB222 Wireless Network Adapter) 活动 224.0.0.0 240.0.0.0 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1) 活动 [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] 301 [ TRIAL VERSION ] 活动 255.255.255.255 255.255.255.255 127.0.0.1 331 127.0.0.1 (Software Loopback Interface 1) 活动 255.255.255.255 255.255.255.255 192.168.2.9 301 192.168.2.9 (Qualcomm Atheros AR5BWB222 Wireless Network Adapter) --------[ IE Cookie ]--------------------------------------------------------------------------------------------------- 2022-04-24 09:27:40 administrator@bing.com/ 2022-04-27 13:47:24 administrator@union2.50bang.org/web/ajax164 2022-04-27 13:47:25 administrator@web.50bangzh.com/ 2022-04-29 21:59:43 administrator@360.cn/ 2022-04-29 22:37:17 administrator@qq.com/ 2022-04-29 22:37:17 administrator@soso.com/ --------[ 浏览器历史记录 ]---------------------------------------------------------------------------------------------- 2022-04-25 21:14:55 Administrator@http://pcstatic.2345.com/utf8/taskbarSearch/polymer.html?typeID=1&showTip=1&uuid=e49d8626f8816cb78103ce68d2c2d47d 2022-04-27 13:47:30 Administrator@http://pcstatic.2345.com/utf8/kaiji/index.html?v=20210818&uuid=E49D8626F8816CB78103CE68D2C2D47D&category=KAIJI_HOT 2022-04-29 13:28:41 [ TRIAL VERSION ] 2022-04-29 13:30:01 Administrator@http://lucky.hd.360.cn/weishi/2016/index.html --------[ DirectX 文件 ]------------------------------------------------------------------------------------------------ amstream.dll 10.00.19041.0001 Final Retail 英语(美国) 76800 2019/12/7 17:10:04 bdaplgin.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 76288 2019/12/7 17:10:04 d2d1.dll 10.00.19041.0001 Final Retail Chinese (Simplified) 5371024 2019/12/7 17:09:18 d3d10.dll 10.00.19041.0001 Final Retail English 1041920 2019/12/7 17:09:28 d3d10_1.dll 10.00.19041.0001 Final Retail English 151040 2019/12/7 17:09:28 d3d10_1core.dll 10.00.19041.0001 Final Retail English 34304 2019/12/7 17:09:28 d3d10core.dll 10.00.19041.0001 Final Retail English 33792 2019/12/7 17:09:28 d3d10level9.dll 10.00.19041.0001 Final Retail English 325344 2019/12/7 17:09:18 d3d10warp.dll 10.00.19041.0001 Final Retail English 5998608 2019/12/7 17:09:18 d3d11.dll 10.00.19041.0001 Final Retail English 1963408 2019/12/7 17:09:18 d3d12.dll 10.00.19041.0001 Final Retail English 1596456 2019/12/7 17:09:22 d3d8.dll 10.00.19041.0001 Final Retail 英语(美国) 714752 2019/12/7 17:09:26 d3d8thk.dll 10.00.19041.0001 Final Retail 英语(美国) 12800 2019/12/7 17:09:26 d3d9.dll 10.00.19041.0001 Final Retail 英语(美国) 1616576 2019/12/7 17:09:26 d3dim.dll 10.00.19041.0001 Final Retail 英语(美国) 318976 2019/12/7 17:09:26 d3dim700.dll 10.00.19041.0001 Final Retail 英语(美国) 388096 2019/12/7 17:09:26 d3dramp.dll 10.00.19041.0001 Final Retail 英语(美国) 595456 2019/12/7 17:09:26 d3dxof.dll 10.00.19041.0001 Final Retail 英语(美国) 56832 2019/12/7 17:09:26 ddraw.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 527360 2019/12/7 17:09:26 ddrawex.dll 10.00.19041.0001 Final Retail 英语(美国) 41472 2019/12/7 17:09:26 devenum.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 93440 2019/12/7 17:10:04 dinput.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 135680 2019/12/7 17:09:57 dinput8.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 171008 2019/12/7 17:09:57 dmband.dll 10.00.19041.0001 Final Retail 英语(美国) 33792 2019/12/7 17:09:57 dmcompos.dll 10.00.19041.0001 Final Retail 英语(美国) 74240 2019/12/7 17:09:57 dmime.dll 10.00.19041.0001 Final Retail 英语(美国) 198656 2019/12/7 17:09:57 dmloader.dll 10.00.19041.0001 Final Retail 英语(美国) 41472 2019/12/7 17:09:57 dmscript.dll 10.00.19041.0001 Final Retail 英语(美国) 97280 2019/12/7 17:09:57 dmstyle.dll 10.00.19041.0001 Final Retail 英语(美国) 117760 2019/12/7 17:09:57 dmsynth.dll 10.00.19041.0001 Final Retail 英语(美国) 112640 2019/12/7 17:09:57 dmusic.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 109056 2019/12/7 17:09:57 dplaysvr.exe 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dplayx.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpmodemx.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpnaddr.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpnathlp.dll 10.00.19041.0001 Final Retail English 8192 2019/12/7 17:09:58 dpnet.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpnhpast.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpnhupnp.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpnlobby.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dpnsvr.exe 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:10:00 dpwsockx.dll 10.00.19041.0001 Final Retail 英语(美国) 8192 2019/12/7 17:09:57 dsdmo.dll 10.00.19041.0001 Final Retail 英语(美国) 183808 2019/12/7 17:09:11 dsound.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 493056 2019/12/7 17:09:11 dswave.dll 10.00.19041.0001 Final Retail 英语(美国) 23040 2019/12/7 17:09:57 dwrite.dll 10.00.19041.0264 Final Retail Chinese (Simplified) 2104320 2020/5/11 13:41:38 dxdiagn.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 457728 2019/12/7 17:10:00 dxgi.dll 10.00.19041.0001 Final Retail English 781944 2019/12/7 17:09:18 dxmasf.dll 12.00.19041.0001 Final Retail 英语(美国) 5632 2019/12/7 3:49:00 dxtmsft.dll 11.00.19041.0001 Final Retail English 396288 2019/12/7 17:10:02 dxtrans.dll 11.00.19041.0001 Final Retail English 267264 2019/12/7 17:10:02 dxva2.dll 10.00.19041.0001 Final Retail English 106384 2019/12/7 17:09:18 encapi.dll 10.00.19041.0001 Final Retail 英语(美国) 20992 2019/12/7 17:10:04 gcdef.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 124416 2019/12/7 17:09:57 joy.cpl 10.00.19041.0001 Final Retail 中文(简体,中国) 90624 2019/12/7 17:09:57 ksproxy.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 234496 2019/12/7 17:10:04 kstvtune.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 89600 2019/12/7 17:10:04 ksuser.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 20328 2019/12/7 17:09:11 kswdmcap.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 116224 2019/12/7 17:10:04 ksxbar.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 53248 2019/12/7 17:10:04 mciqtz32.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 38400 2019/12/7 17:10:04 mfc40.dll 4.01.0000.6140 Final Retail 中文(简体,中国) 924944 2019/12/7 17:09:13 mfc42.dll 6.06.8063.0000 Beta Retail 中文(简体,中国) 1171456 2019/12/7 17:09:13 mpeg2data.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 75776 2019/12/7 17:10:04 mpg2splt.ax 10.00.19041.0001 Final Retail 英语(美国) 204800 2019/12/7 17:10:04 msdmo.dll 10.00.19041.0001 Final Retail 英语(美国) 28896 2019/12/7 17:09:11 msdvbnp.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 66560 2019/12/7 17:10:04 msvidctl.dll 6.05.19041.0001 Final Retail 中文(简体,中国) 2200576 2019/12/7 17:10:04 msyuv.dll 10.00.19041.0001 Final Retail 英语(美国) 23552 2019/12/7 17:10:04 pid.dll 10.00.19041.0001 Final Retail 英语(美国) 38400 2019/12/7 17:09:57 psisdecd.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 483840 2019/12/7 17:10:04 psisrndr.ax 10.00.19041.0001 Final Retail 中文(简体,中国) 80384 2019/12/7 17:10:04 qasf.dll 12.00.19041.0001 Final Retail 英语(美国) 127488 2019/12/7 17:10:00 qcap.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 211968 2019/12/7 17:10:04 qdv.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 291328 2019/12/7 17:10:04 qdvd.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 549888 2019/12/7 17:10:04 qedit.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 556032 2019/12/7 17:10:05 qedwipes.dll 10.00.19041.0001 Final Retail 英语(美国) 2560 2019/12/7 17:10:05 quartz.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 1470464 2019/12/7 17:10:04 vbisurf.ax 10.00.19041.0001 Final Retail 英语(美国) 37888 2019/12/7 17:10:04 vfwwdm32.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 56832 2019/12/7 17:10:04 wsock32.dll 10.00.19041.0001 Final Retail 中文(简体,中国) 16384 2019/12/7 17:09:15 --------[ DirectX 视频 ]------------------------------------------------------------------------------------------------ [ 主显示器驱动程序 ] DirectDraw 设备属性: DirectDraw 驱动程序名称 display DirectDraw 设备描述 主显示器驱动程序 硬件驱动程序 igdumdim32.dll (20.19.15.4463) 硬件描述 Intel(R) HD Graphics Family Direct3D 设备属性: 渲染位深 16, 32 Z-缓冲位深 16, 24, 32 Multisample Anti-Aliasing Modes MSAA 2x, MSAA 4x, MSAA 8x, CSAA 8xQ 最小纹理尺寸 1 x 1 最大纹理尺寸 16384 x 16384 统一着色版本 5.0 DirectX 硬件支持 DirectX v11.0 Direct3D 设备特性: Additive Texture Blending 支持 AGP Texturing 支持 Anisotropic Filtering 支持 Automatic Mipmap Generation 支持 Bilinear Filtering 支持 Compute Shader 支持 Cubic Environment Mapping 支持 Cubic Filtering 不支持 Decal-Alpha Texture Blending 支持 Decal Texture Blending 支持 Directional Lights 支持 DirectX Texture Compression 不支持 DirectX Volumetric Texture Compression 不支持 Dithering 支持 Dot3 Texture Blending 支持 Double-Precision Floating-Point 支持 Driver Concurrent Creates 支持 Driver Command Lists 支持 Dynamic Textures 支持 Edge Anti-Aliasing 不支持 Environmental Bump Mapping 支持 Environmental Bump Mapping + Luminance 支持 Factor Alpha Blending 支持 Geometric Hidden-Surface Removal 不支持 Geometry Shader 支持 Guard Band 支持 Hardware Scene Rasterization 支持 Hardware Transform & Lighting 支持 Legacy Depth Bias 支持 Map On Default Buffers 支持 Mipmap LOD Bias Adjustments 支持 Mipmapped Cube Textures 支持 Mipmapped Volume Textures 支持 Modulate-Alpha Texture Blending 支持 Modulate Texture Blending 支持 Non-Square Textures 支持 N-Patches 不支持 Perspective Texture Correction 支持 Point Lights 支持 Point Sampling 支持 Projective Textures 支持 Quintic Bezier Curves & B-Splines 不支持 Range-Based Fog 支持 Rectangular & Triangular Patches 不支持 Rendering In Windowed Mode 支持 Runtime Shader Linking 支持 Scissor Test 支持 Slope-Scale Based Depth Bias 支持 Specular Flat Shading 支持 Specular Gouraud Shading 支持 Specular Phong Shading 不支持 Spherical Mapping 支持 Spot Lights 支持 Stencil Buffers 支持 Sub-Pixel Accuracy 支持 Subtractive Texture Blending 支持 Table Fog 支持 Texture Alpha Blending 支持 Texture Clamping 支持 Texture Mirroring 支持 Texture Transparency 支持 Texture Wrapping 支持 Tiled Resources 支持 Triangle Culling 不支持 Trilinear Filtering 支持 Two-Sided Stencil Test 支持 Vertex Alpha Blending 支持 Vertex Fog 支持 Vertex Tweening 不支持 Volume Textures 支持 W-Based Fog 支持 W-Buffering 不支持 Z-Based Fog 支持 Z-Bias 支持 Z-Test 支持 支持 FourCC 编码: AI44 支持 AYUV 支持 I420 支持 IA44 支持 IMC1 支持 IMC2 支持 IMC3 支持 IMC4 支持 IYUV 支持 NV11 支持 NV12 支持 P010 支持 P016 支持 P208 支持 UYVY 支持 VYUY 支持 YUY2 支持 YV12 支持 YVU9 支持 YVYU 支持 显示适配器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ DirectX 音频 ]------------------------------------------------------------------------------------------------ [ 主声音驱动程序 ] DirectSound 设备属性: 设备描述 主声音驱动程序 驱动程序模块 主缓冲 1 副缓冲取样 (最小/最大) 100 / 200000 Hz 主缓冲声音格式 8 位, 16 位, 单声道, 立体声 副缓冲声音格式 8 位, 16 位, 单声道, 立体声 声音缓冲 (总数/可用) 1 / 0 静态声音缓冲 (总数/可用) 1 / 0 数据流声音缓冲 (总数/可用) 1 / 0 3D 声音缓冲 (总数/可用) 0 / 0 3D 静态声音缓冲 (总数/可用) 0 / 0 3D 数据流声音缓冲 (总数/可用) 0 / 0 DirectSound 设备特性: 数字签名的驱动程序 否 仿真设备 否 精密取样 支持 DirectSound3D 不支持 Creative EAX 1.0 不支持 Creative EAX 2.0 不支持 Creative EAX 3.0 不支持 Creative EAX 4.0 不支持 Creative EAX 5.0 不支持 I3DL2 不支持 Sensaura ZoomFX 不支持 [ 扬声器 (Realtek High Definition Audio) ] DirectSound 设备属性: 设备描述 扬声器 (Realtek High Definition Audio) 驱动程序模块 {0.0.0.00000000}.{4c72fedc-9673-4632-824d-60e30db16067} 主缓冲 1 副缓冲取样 (最小/最大) 100 / 200000 Hz 主缓冲声音格式 8 位, 16 位, 单声道, 立体声 副缓冲声音格式 8 位, 16 位, 单声道, 立体声 声音缓冲 (总数/可用) 1 / 0 静态声音缓冲 (总数/可用) 1 / 0 数据流声音缓冲 (总数/可用) 1 / 0 3D 声音缓冲 (总数/可用) 0 / 0 3D 静态声音缓冲 (总数/可用) 0 / 0 3D 数据流声音缓冲 (总数/可用) 0 / 0 DirectSound 设备特性: 数字签名的驱动程序 否 仿真设备 否 精密取样 支持 DirectSound3D 不支持 Creative EAX 1.0 不支持 Creative EAX 2.0 不支持 Creative EAX 3.0 不支持 Creative EAX 4.0 不支持 Creative EAX 5.0 不支持 I3DL2 不支持 Sensaura ZoomFX 不支持 --------[ Windows 设备 ]------------------------------------------------------------------------------------------------ [ 设备 ] IDE ATA/ATAPI 控制器: 标准 SATA AHCI 控制器 10.0.19041.1 Unknown: 未知 处理器: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 10.0.19041.1 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 10.0.19041.1 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 10.0.19041.1 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 10.0.19041.1 磁盘驱动器: WDC WD5000LPVX-22V0TT0 10.0.19041.1 存储卷: 卷 10.0.19041.1 卷 10.0.19041.1 卷 10.0.19041.1 卷 10.0.19041.1 存储控制器: Microsoft 存储空间控制器 10.0.19041.1 打印队列: Fax 10.0.19041.1 Microsoft Print to PDF 10.0.19041.1 Microsoft XPS Document Writer 10.0.19041.1 导出为WPS PDF 10.0.19041.1 根打印队列 10.0.19041.1 电池: Microsoft AC 适配器 10.0.19041.1 Microsoft ACPI 兼容的控制方法电池 10.0.19041.1 计算机: 基于 ACPI x64 的电脑 10.0.19041.1 监视器: 通用即插即用监视器 10.0.19041.1 键盘: HID Keyboard Device 10.0.19041.1 PS/2 标准键盘 10.0.19041.1 蓝牙: Bluetooth Device (RFCOMM Protocol TDI) 10.0.19041.1 Bluetooth USB Module 10.0.1.4 Microsoft 蓝牙 LE 枚举器 10.0.19041.1 Microsoft 蓝牙枚举器 10.0.19041.1 人机接口设备: HID-compliant device 4.0.0.0 HID-compliant device 4.0.0.0 I2C HID 设备 10.0.19041.1 Microsoft Input Configuration Device 10.0.19041.1 USB 输入设备 10.0.19041.1 USB 输入设备 10.0.19041.1 符合 HID 标准的触摸板 10.0.19041.1 符合 HID 标准的供应商定义设备 10.0.19041.1 符合 HID 标准的用户控制设备 10.0.19041.1 软件设备: Microsoft Device Association Root Enumerator 10.0.19041.1 Microsoft GS 波表合成器 10.0.19041.1 Microsoft Radio Device Enumeration Bus 10.0.19041.1 Microsoft RRAS Root Enumerator 10.0.19041.1 WLAN 10.0.19041.1 蓝牙 10.0.19041.1 声音、视频和游戏控制器: Realtek High Definition Audio 6.0.1.7865 鼠标和其他指针设备: HID-compliant mouse 10.0.19041.1 HID-compliant mouse 10.0.19041.1 通用串行总线控制器: Generic USB Hub 10.0.19041.1 Intel(R) 8 Series USB Enhanced Host Controller #1 - 9C269.4.0.1025 Intel(R) USB 3.0 可扩展主机控制器 - 1.0 (Microsoft)10.0.19041.1 Realtek USB 2.0 Card Reader 10.0.10586.31225 USB Composite Device 10.0.19041.1 USB Composite Device 10.0.19041.1 USB Root Hub 10.0.19041.1 USB 根集线器(USB 3.0) 10.0.19041.264 网络适配器: Bluetooth Device (Personal Area Network) 10.0.19041.1 Microsoft Wi-Fi Direct Virtual Adapter #2 10.0.19041.1 Microsoft Wi-Fi Direct Virtual Adapter 10.0.19041.1 Qualcomm Atheros AR5BWB222 Wireless Network Adapter3.0.2.201 Realtek PCIe GbE Family Controller 10.31.828.2018 WAN Miniport (IKEv2) 10.0.19041.1 WAN Miniport (IP) 10.0.19041.1 WAN Miniport (IPv6) 10.0.19041.1 WAN Miniport (L2TP) 10.0.19041.1 WAN Miniport (Network Monitor) 10.0.19041.1 WAN Miniport (PPPOE) 10.0.19041.1 WAN Miniport (PPTP) 10.0.19041.1 WAN Miniport (SSTP) 10.0.19041.1 系统设备: ACPI 电源按钮 10.0.19041.1 ACPI 风扇 10.0.19041.1 ACPI 风扇 10.0.19041.1 ACPI 风扇 10.0.19041.1 ACPI 风扇 10.0.19041.1 ACPI 风扇 10.0.19041.1 ACPI 盖子 10.0.19041.1 ACPI 固定功能按钮 10.0.19041.1 ACPI 热区域 10.0.19041.1 ACPI 热区域 10.0.19041.1 ACPI 热区域 10.0.19041.1 ACPI 热区域 10.0.19041.1 ACPI 睡眠按钮 10.0.19041.1 High Definition Audio 控制器 10.0.19041.1 Intel(R) 8 Series LPC Controller (Premium SKU) - 9C4310.1.1.38 Intel(R) 8 Series PCI Express Root Port #3 - 9C14 10.1.1.38 Intel(R) 8 Series PCI Express Root Port #4 - 9C16 10.1.1.38 Intel(R) 8 Series PCI Express Root Port #5 - 9C18 10.1.1.38 Intel(R) 8 Series Thermal - 9C24 10.1.1.38 Intel(R) Management Engine Interface 9.5.15.1730 Intel(R) Serial IO I2C Host Controller - 9C62 1.1.253.0 Microsoft ACPI 兼容的嵌入式控制器 10.0.19041.1 Microsoft ACPI-Compliant System 10.0.19041.1 Microsoft Hyper-V 虚拟化基础结构驱动程序 10.0.19041.1 Microsoft System Management BIOS Driver 10.0.19041.1 Microsoft Windows Management Interface for ACPI 10.0.19041.1 Microsoft Windows Management Interface for ACPI 10.0.19041.1 Microsoft Windows Management Interface for ACPI 10.0.19041.1 Microsoft 基本呈现驱动程序 10.0.19041.84 Microsoft 基本显示驱动程序 10.0.19041.1 Microsoft 虚拟驱动器枚举器 10.0.19041.1 NDIS 虚拟网络适配器枚举器 10.0.19041.1 PCI Express 根复合体 10.0.19041.1 PCI 标准主机 CPU 桥 10.0.19041.1 Synaptics SMBus Driver 16.3.12.34 UMBus Root Bus Enumerator 10.0.19041.1 充电均衡驱动程序 10.0.19041.1 复合总线枚举器 10.0.19041.1 高精度事件计时器 10.0.19041.1 即插即用软件设备枚举器 10.0.19041.1 旧设备 10.0.19041.1 卷管理器 10.0.19041.1 可编程中断控制器 10.0.19041.1 母板资源 10.0.19041.1 母板资源 10.0.19041.1 母板资源 10.0.19041.1 母板资源 10.0.19041.1 母板资源 10.0.19041.1 系统 CMOS/实时时钟 10.0.19041.1 系统计时器 10.0.19041.1 远程桌面设备重定向程序总线 10.0.19041.1 直接内存访问控制器 10.0.19041.1 显示适配器: Intel(R) HD Graphics Family 20.19.15.4463 NVIDIA GeForce GTX 850M 27.21.14.5709 音频输入和输出: 麦克风 (Realtek High Definition Audio) 10.0.19041.1 扬声器 (Realtek High Definition Audio) 10.0.19041.1 照相机: HD WebCam 10.0.19041.1 [ IDE ATA/ATAPI 控制器 / 标准 SATA AHCI 控制器 ] 设备属性: 描述 标准 SATA AHCI 控制器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 mshdc.inf INF Section msahci_Inst 硬件 ID PCI\VEN_8086&DEV_9C03&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 31、功能 2 PCI 设备 Intel Lynx Point-LP PCH - SATA AHCI Controller [B2] 资源: IRQ 65536 内存 B371B000-B371B7FF I/O 端口 5060-507F I/O 端口 5080-5087 I/O 端口 5088-508F I/O 端口 5090-5093 I/O 端口 5094-5097 [ Unknown / Unknown ] 设备属性: 描述 Unknown [ 处理器 / Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz ] 设备属性: 描述 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 驱动程序日期 2009/4/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 cpu.inf INF Section IntelPPM_Inst.NT 硬件 ID ACPI\GenuineIntel_-_Intel64_Family_6_Model_69 CPU 制造商: 公司名称 Intel Corporation 产品信息 https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i5-4210U 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 处理器 / Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz ] 设备属性: 描述 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 驱动程序日期 2009/4/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 cpu.inf INF Section IntelPPM_Inst.NT 硬件 ID ACPI\GenuineIntel_-_Intel64_Family_6_Model_69 CPU 制造商: 公司名称 Intel Corporation 产品信息 https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i5-4210U 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 处理器 / Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz ] 设备属性: 描述 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 驱动程序日期 2009/4/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 cpu.inf INF Section IntelPPM_Inst.NT 硬件 ID ACPI\GenuineIntel_-_Intel64_Family_6_Model_69 CPU 制造商: 公司名称 Intel Corporation 产品信息 https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i5-4210U 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 处理器 / Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz ] 设备属性: 描述 Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz 驱动程序日期 2009/4/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 cpu.inf INF Section IntelPPM_Inst.NT 硬件 ID ACPI\GenuineIntel_-_Intel64_Family_6_Model_69 CPU 制造商: 公司名称 Intel Corporation 产品信息 https://ark.intel.com/content/www/us/en/ark/search.html?q=Intel%20Core%20i5-4210U 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 磁盘驱动器 / WDC WD5000LPVX-22V0TT0 ] 设备属性: 描述 WDC WD5000LPVX-22V0TT0 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 disk.inf INF Section disk_install.NT 硬件 ID SCSI\DiskWDC_____WD5000LPVX-22V0T01.0 位置信息 Bus Number 0, Target Id 0, LUN 0 设备制造商: 公司名称 Western Digital Corporation 产品信息 https://www.wdc.com/products/internal-storage.html 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 存储卷 / 卷 ] 设备属性: 描述 卷 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 volume.inf INF Section volume_install.NT 硬件 ID STORAGE\Volume [ 存储卷 / 卷 ] 设备属性: 描述 卷 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 volume.inf INF Section volume_install.NT 硬件 ID STORAGE\Volume [ 存储卷 / 卷 ] 设备属性: 描述 卷 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 volume.inf INF Section volume_install.NT 硬件 ID STORAGE\Volume [ 存储卷 / 卷 ] 设备属性: 描述 卷 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 volume.inf INF Section volume_install.NT 硬件 ID STORAGE\Volume [ 存储控制器 / Microsoft 存储空间控制器 ] 设备属性: 描述 Microsoft 存储空间控制器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 spaceport.inf INF Section Spaceport_Install 硬件 ID Root\Spaceport 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 打印队列 / Fax ] 设备属性: 描述 Fax 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 printqueue.inf INF Section NO_DRV_LOCAL 硬件 ID PRINTENUM\microsoftmicrosoft_s7d14 [ 打印队列 / Microsoft Print to PDF ] 设备属性: 描述 Microsoft Print to PDF 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 printqueue.inf INF Section NO_DRV_LOCAL 硬件 ID PRINTENUM\{084f01fa-e634-4d77-83ee-074817c03581} [ 打印队列 / Microsoft XPS Document Writer ] 设备属性: 描述 Microsoft XPS Document Writer 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 printqueue.inf INF Section NO_DRV_LOCAL 硬件 ID PRINTENUM\{0f4130dd-19c7-7ab6-99a1-980f03b2ee4e} [ 打印队列 / 导出为WPS PDF ] 设备属性: 描述 导出为WPS PDF 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 printqueue.inf INF Section NO_DRV_LOCAL 硬件 ID PRINTENUM\LocalPrintQueue [ 打印队列 / 根打印队列 ] 设备属性: 描述 根打印队列 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 printqueue.inf INF Section NO_DRV_LOCAL 硬件 ID PRINTENUM\LocalPrintQueue [ 电池 / Microsoft AC 适配器 ] 设备属性: 描述 Microsoft AC 适配器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 cmbatt.inf INF Section AcAdapter_Inst 硬件 ID ACPI\VEN_ACPI&DEV_0003 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 电池 / Microsoft ACPI 兼容的控制方法电池 ] 设备属性: 描述 Microsoft ACPI 兼容的控制方法电池 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 cmbatt.inf INF Section CmBatt_Inst 硬件 ID ACPI\VEN_PNP&DEV_0C0A 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 计算机 / 基于 ACPI x64 的电脑 ] 设备属性: 描述 基于 ACPI x64 的电脑 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 hal.inf INF Section ACPI_AMD64_HAL 硬件 ID acpiapic [ 监视器 / 通用即插即用监视器 ] 设备属性: 描述 通用即插即用监视器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 monitor.inf INF Section PnPMonitor.Install 硬件 ID MONITOR\LGD0443 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 键盘 / HID Keyboard Device ] 设备属性: 描述 HID Keyboard Device 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 keyboard.inf INF Section HID_Keyboard_Inst.NT 硬件 ID HID\VID_2717&PID_5009&REV_0200&MI_01&Col01 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 键盘 / PS/2 标准键盘 ] 设备属性: 描述 PS/2 标准键盘 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 keyboard.inf INF Section STANDARD_Inst 硬件 ID ACPI\VEN_1025&DEV_0759 资源: IRQ 01 I/O 端口 0060-0060 I/O 端口 0064-0064 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 蓝牙 / Bluetooth Device (RFCOMM Protocol TDI) ] 设备属性: 描述 Bluetooth Device (RFCOMM Protocol TDI) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 tdibth.inf INF Section RFCOMM.Install 硬件 ID BTH\MS_RFCOMM 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 蓝牙 / Bluetooth USB Module ] 设备属性: 描述 Bluetooth USB Module 驱动程序日期 2015/9/21 驱动程序版本 10.0.1.4 驱动程序提供商 Qualcomm Atheros Communications INF 文件 oem13.inf INF Section QCABTUSB 硬件 ID USB\VID_0489&PID_E076&REV_0001 位置信息 Port_#0005.Hub_#0003 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 蓝牙 / Microsoft 蓝牙 LE 枚举器 ] 设备属性: 描述 Microsoft 蓝牙 LE 枚举器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 bthleenum.inf INF Section BthLEEnum.NT 硬件 ID BTH\MS_BTHLE 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 蓝牙 / Microsoft 蓝牙枚举器 ] 设备属性: 描述 Microsoft 蓝牙枚举器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 bth.inf INF Section BthEnum.NT 硬件 ID BTH\MS_BTHBRB 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / HID-compliant device ] 设备属性: 描述 HID-compliant device 驱动程序日期 2012/6/7 驱动程序版本 4.0.0.0 驱动程序提供商 ENE INF 文件 oem7.inf INF Section customCollection.Inst.NT 硬件 ID HID\VID_2717&PID_5009&REV_0200&MI_01&Col02 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / HID-compliant device ] 设备属性: 描述 HID-compliant device 驱动程序日期 2012/6/7 驱动程序版本 4.0.0.0 驱动程序提供商 ENE INF 文件 oem7.inf INF Section customCollection.Inst.NT 硬件 ID HID\VEN_SYN&DEV_1B7F&Col04 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / I2C HID 设备 ] 设备属性: 描述 I2C HID 设备 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 hidi2c.inf INF Section hidi2c_Device.NT 硬件 ID ACPI\VEN_SYN&DEV_1B7F 资源: IRQ 39 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / Microsoft Input Configuration Device ] 设备属性: 描述 Microsoft Input Configuration Device 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 mtconfig.inf INF Section MTConfigInst.NT 硬件 ID HID\VEN_SYN&DEV_1B7F&Col03 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / USB 输入设备 ] 设备属性: 描述 USB 输入设备 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 input.inf INF Section HID_Inst.NT 硬件 ID USB\VID_2717&PID_5009&REV_0200&MI_00 位置信息 0000.0014.0000.003.000.000.000.000.000 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / USB 输入设备 ] 设备属性: 描述 USB 输入设备 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 input.inf INF Section HID_Inst.NT 硬件 ID USB\VID_2717&PID_5009&REV_0200&MI_01 位置信息 0000.0014.0000.003.000.000.000.000.000 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / 符合 HID 标准的触摸板 ] 设备属性: 描述 符合 HID 标准的触摸板 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 input.inf INF Section HID_Raw_Inst.NT 硬件 ID HID\VEN_SYN&DEV_1B7F&Col02 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / 符合 HID 标准的供应商定义设备 ] 设备属性: 描述 符合 HID 标准的供应商定义设备 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 input.inf INF Section HID_Raw_Inst.NT 硬件 ID HID\VID_2717&PID_5009&REV_0200&MI_01&Col03 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 人机接口设备 / 符合 HID 标准的用户控制设备 ] 设备属性: 描述 符合 HID 标准的用户控制设备 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 hidserv.inf INF Section HIDSystemConsumerDevice 硬件 ID HID\VID_2717&PID_5009&REV_0200&MI_01&Col04 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 软件设备 / Microsoft Device Association Root Enumerator ] 设备属性: 描述 Microsoft Device Association Root Enumerator 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 c_swdevice.inf INF Section SoftwareDevice [ 软件设备 / Microsoft GS 波表合成器 ] 设备属性: 描述 Microsoft GS 波表合成器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 c_swdevice.inf INF Section SoftwareDevice [ 软件设备 / Microsoft Radio Device Enumeration Bus ] 设备属性: 描述 Microsoft Radio Device Enumeration Bus 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 c_swdevice.inf INF Section SoftwareDevice [ 软件设备 / Microsoft RRAS Root Enumerator ] 设备属性: 描述 Microsoft RRAS Root Enumerator 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 c_swdevice.inf INF Section SoftwareDevice [ 软件设备 / WLAN ] 设备属性: 描述 WLAN 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 c_swdevice.inf INF Section SoftwareDevice [ 软件设备 / 蓝牙 ] 设备属性: 描述 蓝牙 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 c_swdevice.inf INF Section SoftwareDevice [ 声音、视频和游戏控制器 / Realtek High Definition Audio ] 设备属性: 描述 Realtek High Definition Audio 驱动程序日期 2016/6/28 驱动程序版本 6.0.1.7865 驱动程序提供商 Realtek Semiconductor Corp. INF 文件 oem8.inf INF Section IntcAzAudModel_1025091B.NTamd64 硬件 ID HDAUDIO\FUNC_01&VEN_10EC&DEV_0283&SUBSYS_1025091B&REV_1000 位置信息 Internal High Definition Audio Bus 设备制造商: 公司名称 Realtek Semiconductor Corp. 产品信息 https://www.realtek.com/products 驱动程序下载 https://www.realtek.com/downloads 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 鼠标和其他指针设备 / HID-compliant mouse ] 设备属性: 描述 HID-compliant mouse 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 msmouse.inf INF Section HID_Mouse_Inst.NT 硬件 ID HID\VID_2717&PID_5009&REV_0200&MI_00 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 鼠标和其他指针设备 / HID-compliant mouse ] 设备属性: 描述 HID-compliant mouse 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 msmouse.inf INF Section HID_Mouse_Inst.NT 硬件 ID HID\VEN_SYN&DEV_1B7F&Col01 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 通用串行总线控制器 / Generic USB Hub ] 设备属性: 描述 Generic USB Hub 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 usb.inf INF Section StandardHub.Dev.NT 硬件 ID USB\VID_8087&PID_8000&REV_0004 位置信息 Port_#0001.Hub_#0001 [ 通用串行总线控制器 / Intel(R) 8 Series USB Enhanced Host Controller #1 - 9C26 ] 设备属性: 描述 Intel(R) 8 Series USB Enhanced Host Controller #1 - 9C26 驱动程序日期 2013/7/31 驱动程序版本 9.4.0.1025 驱动程序提供商 Intel INF 文件 oem12.inf INF Section Intel_EHCI.Dev.NT 硬件 ID PCI\VEN_8086&DEV_9C26&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 29、功能 0 PCI 设备 Intel Lynx Point-LP PCH - USB 2.0 EHCI Host Controller 1 [B2] 资源: IRQ 23 内存 B371C000-B371C3FF 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 通用串行总线控制器 / Intel(R) USB 3.0 可扩展主机控制器 - 1.0 (Microsoft) ] 设备属性: 描述 Intel(R) USB 3.0 可扩展主机控制器 - 1.0 (Microsoft) 驱动程序日期 2019/12/6 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 usbxhci.inf INF Section Generic.Install.NT 硬件 ID PCI\VEN_8086&DEV_9C31&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 20、功能 0 PCI 设备 Intel Lynx Point-LP PCH - USB 3.0 xHCI Host Controller [B2] 资源: IRQ 65536 内存 B3700000-B370FFFF 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 通用串行总线控制器 / Realtek USB 2.0 Card Reader ] 设备属性: 描述 Realtek USB 2.0 Card Reader 驱动程序日期 2016/5/17 驱动程序版本 10.0.10586.31225 驱动程序提供商 Realtek Semiconduct Corp. INF 文件 oem10.inf INF Section RSUER.UVSTOR.NTamd64 硬件 ID USB\VID_0BDA&PID_0129&REV_3960 位置信息 Port_#0008.Hub_#0003 [ 通用串行总线控制器 / USB Composite Device ] 设备属性: 描述 USB Composite Device 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 usb.inf INF Section Composite.Dev.NT 硬件 ID USB\VID_2717&PID_5009&REV_0200 位置信息 Port_#0003.Hub_#0002 [ 通用串行总线控制器 / USB Composite Device ] 设备属性: 描述 USB Composite Device 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 usb.inf INF Section Composite.Dev.NT 硬件 ID USB\VID_04F2&PID_B474&REV_2860 位置信息 Port_#0007.Hub_#0003 [ 通用串行总线控制器 / USB Root Hub ] 设备属性: 描述 USB Root Hub 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 usbport.inf INF Section ROOTHUB.Dev.NT 硬件 ID USB\ROOT_HUB20&VID8086&PID9C26&REV0004 [ 通用串行总线控制器 / USB 根集线器(USB 3.0) ] 设备属性: 描述 USB 根集线器(USB 3.0) 驱动程序日期 2020/5/9 驱动程序版本 10.0.19041.264 驱动程序提供商 Microsoft INF 文件 usbhub3.inf INF Section Generic.Install.NT 硬件 ID USB\ROOT_HUB30&VID8086&PID9C31&REV0004 [ 网络适配器 / Bluetooth Device (Personal Area Network) ] 设备属性: 描述 Bluetooth Device (Personal Area Network) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 bthpan.inf INF Section BthPan.Install 硬件 ID BTH\MS_BTHPAN 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / Microsoft Wi-Fi Direct Virtual Adapter #2 ] 设备属性: 描述 Microsoft Wi-Fi Direct Virtual Adapter #2 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netvwifimp.inf INF Section vwifimp_wfd.ndi 硬件 ID {5d624f94-8850-40c3-a3fa-a4fd2080baf3}\vwifimp_wfd 位置信息 VWiFi Bus 0 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / Microsoft Wi-Fi Direct Virtual Adapter ] 设备属性: 描述 Microsoft Wi-Fi Direct Virtual Adapter 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netvwifimp.inf INF Section vwifimp_wfd.ndi 硬件 ID {5d624f94-8850-40c3-a3fa-a4fd2080baf3}\vwifimp_wfd 位置信息 VWiFi Bus 0 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / Qualcomm Atheros AR5BWB222 Wireless Network Adapter ] 设备属性: 描述 Qualcomm Atheros AR5BWB222 Wireless Network Adapter 驱动程序日期 2016/3/26 驱动程序版本 3.0.2.201 驱动程序提供商 Microsoft INF 文件 athw8x.inf INF Section ATHR_DEV_OS61_1186788.ndi.NTamd64 硬件 ID PCI\VEN_168C&DEV_0034&SUBSYS_E07D105B&REV_01 位置信息 PCI 总线 2、设备 0、功能 0 PCI 设备 Atheros AR5BWB222 Wireless Network Adapter 资源: IRQ 19 内存 B3500000-B357FFFF 网络适配器制造商: 公司名称 Qualcomm Technologies, Inc. 产品信息 https://www.qualcomm.com/solutions/networking 驱动程序下载 https://www.qualcomm.com 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / Realtek PCIe GbE Family Controller ] 设备属性: 描述 Realtek PCIe GbE Family Controller 驱动程序日期 2018/8/28 驱动程序版本 10.31.828.2018 驱动程序提供商 Realtek INF 文件 oem5.inf INF Section RTL8168G.ndi.NT 硬件 ID PCI\VEN_10EC&DEV_8168&SUBSYS_012310EC&REV_0C 位置信息 PCI 总线 1、设备 0、功能 0 PCI 设备 Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter 资源: IRQ 65536 内存 B3400000-B3403FFF 内存 B3600000-B3600FFF I/O 端口 4000-40FF 网络适配器制造商: 公司名称 Realtek Semiconductor Corp. 产品信息 https://www.realtek.com/products 驱动程序下载 https://www.realtek.com/downloads 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (IKEv2) ] 设备属性: 描述 WAN Miniport (IKEv2) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netavpna.inf INF Section Ndi-Mp-AgileVpn 硬件 ID ms_agilevpnminiport 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (IP) ] 设备属性: 描述 WAN Miniport (IP) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netrasa.inf INF Section Ndi-Mp-Ip 硬件 ID ms_ndiswanip 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (IPv6) ] 设备属性: 描述 WAN Miniport (IPv6) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netrasa.inf INF Section Ndi-Mp-Ipv6 硬件 ID ms_ndiswanipv6 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (L2TP) ] 设备属性: 描述 WAN Miniport (L2TP) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netrasa.inf INF Section Ndi-Mp-L2tp 硬件 ID ms_l2tpminiport 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (Network Monitor) ] 设备属性: 描述 WAN Miniport (Network Monitor) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netrasa.inf INF Section Ndi-Mp-Bh 硬件 ID ms_ndiswanbh 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (PPPOE) ] 设备属性: 描述 WAN Miniport (PPPOE) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netrasa.inf INF Section Ndi-Mp-Pppoe 硬件 ID ms_pppoeminiport 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (PPTP) ] 设备属性: 描述 WAN Miniport (PPTP) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netrasa.inf INF Section Ndi-Mp-Pptp 硬件 ID ms_pptpminiport 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 网络适配器 / WAN Miniport (SSTP) ] 设备属性: 描述 WAN Miniport (SSTP) 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 netsstpa.inf INF Section Ndi-Mp-Sstp 硬件 ID ms_sstpminiport 设备制造商: 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 系统设备 / ACPI 电源按钮 ] 设备属性: 描述 ACPI 电源按钮 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0C [ 系统设备 / ACPI 风扇 ] 设备属性: 描述 ACPI 风扇 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0B [ 系统设备 / ACPI 风扇 ] 设备属性: 描述 ACPI 风扇 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0B [ 系统设备 / ACPI 风扇 ] 设备属性: 描述 ACPI 风扇 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0B [ 系统设备 / ACPI 风扇 ] 设备属性: 描述 ACPI 风扇 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0B [ 系统设备 / ACPI 风扇 ] 设备属性: 描述 ACPI 风扇 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0B [ 系统设备 / ACPI 盖子 ] 设备属性: 描述 ACPI 盖子 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0D [ 系统设备 / ACPI 固定功能按钮 ] 设备属性: 描述 ACPI 固定功能按钮 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\FixedButton [ 系统设备 / ACPI 热区域 ] 设备属性: 描述 ACPI 热区域 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\ThermalZone [ 系统设备 / ACPI 热区域 ] 设备属性: 描述 ACPI 热区域 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\ThermalZone [ 系统设备 / ACPI 热区域 ] 设备属性: 描述 ACPI 热区域 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\ThermalZone [ 系统设备 / ACPI 热区域 ] 设备属性: 描述 ACPI 热区域 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\ThermalZone [ 系统设备 / ACPI 睡眠按钮 ] 设备属性: 描述 ACPI 睡眠按钮 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C0E [ 系统设备 / High Definition Audio 控制器 ] 设备属性: 描述 High Definition Audio 控制器 驱动程序日期 2019/12/6 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 hdaudbus.inf INF Section HDAudio_Device.NT 硬件 ID PCI\VEN_8086&DEV_9C20&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 27、功能 0 PCI 设备 Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] 资源: IRQ 22 内存 B3714000-B3717FFF [ 系统设备 / Intel(R) 8 Series LPC Controller (Premium SKU) - 9C43 ] 设备属性: 描述 Intel(R) 8 Series LPC Controller (Premium SKU) - 9C43 驱动程序日期 2016/10/3 驱动程序版本 10.1.1.38 驱动程序提供商 INTEL INF 文件 oem3.inf INF Section Needs_ISAPNP_DRV 硬件 ID PCI\VEN_8086&DEV_9C43&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 31、功能 0 PCI 设备 Intel Lynx Point-LP PCH - LPC Controller (Premium) [B2] 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 系统设备 / Intel(R) 8 Series PCI Express Root Port #3 - 9C14 ] 设备属性: 描述 Intel(R) 8 Series PCI Express Root Port #3 - 9C14 驱动程序日期 2016/10/3 驱动程序版本 10.1.1.38 驱动程序提供商 INTEL INF 文件 oem3.inf INF Section Needs_PCI_DRV 硬件 ID PCI\VEN_8086&DEV_9C14&SUBSYS_091B1025&REV_E4 位置信息 PCI 总线 0、设备 28、功能 0 PCI 设备 Intel Lynx Point-LP PCH - PCI Express Root Port 3 [B2] 资源: IRQ 131071 内存 B3400000-B34FFFFF 内存 B3600000-B36FFFFF I/O 端口 4000-4FFF 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 系统设备 / Intel(R) 8 Series PCI Express Root Port #4 - 9C16 ] 设备属性: 描述 Intel(R) 8 Series PCI Express Root Port #4 - 9C16 驱动程序日期 2016/10/3 驱动程序版本 10.1.1.38 驱动程序提供商 INTEL INF 文件 oem3.inf INF Section Needs_PCI_DRV 硬件 ID PCI\VEN_8086&DEV_9C16&SUBSYS_091B1025&REV_E4 位置信息 PCI 总线 0、设备 28、功能 3 PCI 设备 Intel Lynx Point-LP PCH - PCI Express Root Port 4 [B2] 资源: IRQ 131071 内存 B3500000-B35FFFFF 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 系统设备 / Intel(R) 8 Series PCI Express Root Port #5 - 9C18 ] 设备属性: 描述 Intel(R) 8 Series PCI Express Root Port #5 - 9C18 驱动程序日期 2016/10/3 驱动程序版本 10.1.1.38 驱动程序提供商 INTEL INF 文件 oem3.inf INF Section Needs_PCI_DRV 硬件 ID PCI\VEN_8086&DEV_9C18&SUBSYS_091B1025&REV_E4 位置信息 PCI 总线 0、设备 28、功能 4 PCI 设备 Intel Lynx Point-LP PCH - PCI Express Root Port 5 [B2] 资源: IRQ 131071 内存 A0000000-B1FFFFFF 内存 B2000000-B2FFFFFF I/O 端口 3000-3FFF 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 系统设备 / Intel(R) 8 Series Thermal - 9C24 ] 设备属性: 描述 Intel(R) 8 Series Thermal - 9C24 驱动程序日期 2016/10/3 驱动程序版本 10.1.1.38 驱动程序提供商 INTEL INF 文件 oem3.inf INF Section Needs_NO_DRV 硬件 ID PCI\VEN_8086&DEV_9C24&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 31、功能 6 PCI 设备 Intel Lynx Point-LP PCH - Thermal Controller [B2] [ 系统设备 / Intel(R) Management Engine Interface ] 设备属性: 描述 Intel(R) Management Engine Interface 驱动程序日期 2013/9/5 驱动程序版本 9.5.15.1730 驱动程序提供商 Intel INF 文件 oem11.inf INF Section TEE_DDI_x64 硬件 ID PCI\VEN_8086&DEV_9C3A&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 22、功能 0 PCI 设备 Intel Lynx Point-LP PCH - Host Embedded Controller Interface 1 (HECI1) [B2] 资源: IRQ 65536 内存 B3718000-B371801F 芯片组制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/chipsets BIOS 升级 http://www.aida64.com/goto/?p=biosupdates 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 系统设备 / Intel(R) Serial IO I2C Host Controller - 9C62 ] 设备属性: 描述 Intel(R) Serial IO I2C Host Controller - 9C62 驱动程序日期 2015/2/24 驱动程序版本 1.1.253.0 驱动程序提供商 Intel Corporation INF 文件 ialpssi_i2c.inf INF Section iaLPSSi_I2C_Device.NT 硬件 ID ACPI\VEN_INT&DEV_33C3&REV_0004 资源: IRQ 07 内存 FE105000-FE105FFF [ 系统设备 / Microsoft ACPI 兼容的嵌入式控制器 ] 设备属性: 描述 Microsoft ACPI 兼容的嵌入式控制器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID ACPI\VEN_PNP&DEV_0C09 资源: I/O 端口 0062-0062 I/O 端口 0066-0066 [ 系统设备 / Microsoft ACPI-Compliant System ] 设备属性: 描述 Microsoft ACPI-Compliant System 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 acpi.inf INF Section ACPI_Inst.NT 硬件 ID ACPI_HAL\PNP0C08 PnP 设备 ACPI Driver/BIOS 资源: IRQ 100 IRQ 101 IRQ 102 IRQ 103 IRQ 104 IRQ 105 IRQ 106 IRQ 107 IRQ 108 IRQ 109 IRQ 110 IRQ 111 IRQ 112 IRQ 113 IRQ 114 IRQ 115 IRQ 116 IRQ 117 IRQ 118 IRQ 119 IRQ 120 IRQ 121 IRQ 122 IRQ 123 IRQ 124 IRQ 125 IRQ 126 IRQ 127 IRQ 128 IRQ 129 IRQ 130 IRQ 131 IRQ 132 IRQ 133 IRQ 134 IRQ 135 IRQ 136 IRQ 137 IRQ 138 IRQ 139 IRQ 140 IRQ 141 IRQ 142 IRQ 143 IRQ 144 IRQ 145 IRQ 146 IRQ 147 IRQ 148 IRQ 149 IRQ 150 IRQ 151 IRQ 152 IRQ 153 IRQ 154 IRQ 155 IRQ 156 IRQ 157 IRQ 158 IRQ 159 IRQ 160 IRQ 161 IRQ 162 IRQ 163 IRQ 164 IRQ 165 IRQ 166 IRQ 167 IRQ 168 IRQ 169 IRQ 170 IRQ 171 IRQ 172 IRQ 173 IRQ 174 IRQ 175 IRQ 176 IRQ 177 IRQ 178 IRQ 179 IRQ 180 IRQ 181 IRQ 182 IRQ 183 IRQ 184 IRQ 185 IRQ 186 IRQ 187 IRQ 188 IRQ 189 IRQ 190 IRQ 191 IRQ 192 IRQ 193 IRQ 194 IRQ 195 IRQ 196 IRQ 197 IRQ 198 IRQ 199 IRQ 200 IRQ 201 IRQ 202 IRQ 203 IRQ 204 IRQ 256 IRQ 257 IRQ 258 IRQ 259 IRQ 260 IRQ 261 IRQ 262 IRQ 263 IRQ 264 IRQ 265 IRQ 266 IRQ 267 IRQ 268 IRQ 269 IRQ 270 IRQ 271 IRQ 272 IRQ 273 IRQ 274 IRQ 275 IRQ 276 IRQ 277 IRQ 278 IRQ 279 IRQ 280 IRQ 281 IRQ 282 IRQ 283 IRQ 284 IRQ 285 IRQ 286 IRQ 287 IRQ 288 IRQ 289 IRQ 290 IRQ 291 IRQ 292 IRQ 293 IRQ 294 IRQ 295 IRQ 296 IRQ 297 IRQ 298 IRQ 299 IRQ 300 IRQ 301 IRQ 302 IRQ 303 IRQ 304 IRQ 305 IRQ 306 IRQ 307 IRQ 308 IRQ 309 IRQ 310 IRQ 311 IRQ 312 IRQ 313 IRQ 314 IRQ 315 IRQ 316 IRQ 317 IRQ 318 IRQ 319 IRQ 320 IRQ 321 IRQ 322 IRQ 323 IRQ 324 IRQ 325 IRQ 326 IRQ 327 IRQ 328 IRQ 329 IRQ 330 IRQ 331 IRQ 332 IRQ 333 IRQ 334 IRQ 335 IRQ 336 IRQ 337 IRQ 338 IRQ 339 IRQ 340 IRQ 341 IRQ 342 IRQ 343 IRQ 344 IRQ 345 IRQ 346 IRQ 347 IRQ 348 IRQ 349 IRQ 350 IRQ 351 IRQ 352 IRQ 353 IRQ 354 IRQ 355 IRQ 356 IRQ 357 IRQ 358 IRQ 359 IRQ 360 IRQ 361 IRQ 362 IRQ 363 IRQ 364 IRQ 365 IRQ 366 IRQ 367 IRQ 368 IRQ 369 IRQ 370 IRQ 371 IRQ 372 IRQ 373 IRQ 374 IRQ 375 IRQ 376 IRQ 377 IRQ 378 IRQ 379 IRQ 380 IRQ 381 IRQ 382 IRQ 383 IRQ 384 IRQ 385 IRQ 386 IRQ 387 IRQ 388 IRQ 389 IRQ 390 IRQ 391 IRQ 392 IRQ 393 IRQ 394 IRQ 395 IRQ 396 IRQ 397 IRQ 398 IRQ 399 IRQ 400 IRQ 401 IRQ 402 IRQ 403 IRQ 404 IRQ 405 IRQ 406 IRQ 407 IRQ 408 IRQ 409 IRQ 410 IRQ 411 IRQ 412 IRQ 413 IRQ 414 IRQ 415 IRQ 416 IRQ 417 IRQ 418 IRQ 419 IRQ 420 IRQ 421 IRQ 422 IRQ 423 IRQ 424 IRQ 425 IRQ 426 IRQ 427 IRQ 428 IRQ 429 IRQ 430 IRQ 431 IRQ 432 IRQ 433 IRQ 434 IRQ 435 IRQ 436 IRQ 437 IRQ 438 IRQ 439 IRQ 440 IRQ 441 IRQ 442 IRQ 443 IRQ 444 IRQ 445 IRQ 446 IRQ 447 IRQ 448 IRQ 449 IRQ 450 IRQ 451 IRQ 452 IRQ 453 IRQ 454 IRQ 455 IRQ 456 IRQ 457 IRQ 458 IRQ 459 IRQ 460 IRQ 461 IRQ 462 IRQ 463 IRQ 464 IRQ 465 IRQ 466 IRQ 467 IRQ 468 IRQ 469 IRQ 470 IRQ 471 IRQ 472 IRQ 473 IRQ 474 IRQ 475 IRQ 476 IRQ 477 IRQ 478 IRQ 479 IRQ 480 IRQ 481 IRQ 482 IRQ 483 IRQ 484 IRQ 485 IRQ 486 IRQ 487 IRQ 488 IRQ 489 IRQ 490 IRQ 491 IRQ 492 IRQ 493 IRQ 494 IRQ 495 IRQ 496 IRQ 497 IRQ 498 IRQ 499 IRQ 500 IRQ 501 IRQ 502 IRQ 503 IRQ 504 IRQ 505 IRQ 506 IRQ 507 IRQ 508 IRQ 509 IRQ 510 IRQ 511 IRQ 55 IRQ 56 IRQ 57 IRQ 58 IRQ 59 IRQ 60 IRQ 61 IRQ 62 IRQ 63 IRQ 64 IRQ 65 IRQ 66 IRQ 67 IRQ 68 IRQ 69 IRQ 70 IRQ 71 IRQ 72 IRQ 73 IRQ 74 IRQ 75 IRQ 76 IRQ 77 IRQ 78 IRQ 79 IRQ 80 IRQ 81 IRQ 82 IRQ 83 IRQ 84 IRQ 85 IRQ 86 IRQ 87 IRQ 88 IRQ 89 IRQ 90 IRQ 91 IRQ 92 IRQ 93 IRQ 94 IRQ 95 IRQ 96 IRQ 97 IRQ 98 IRQ 99 [ 系统设备 / Microsoft Hyper-V 虚拟化基础结构驱动程序 ] 设备属性: 描述 Microsoft Hyper-V 虚拟化基础结构驱动程序 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 wvid.inf INF Section Vid_Device_Client.NT 硬件 ID ROOT\VID [ 系统设备 / Microsoft System Management BIOS Driver ] 设备属性: 描述 Microsoft System Management BIOS Driver 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 mssmbios.inf INF Section MSSMBIOS_DRV 硬件 ID ROOT\mssmbios [ 系统设备 / Microsoft Windows Management Interface for ACPI ] 设备属性: 描述 Microsoft Windows Management Interface for ACPI 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 wmiacpi.inf INF Section WMIMAP_Inst.NT 硬件 ID ACPI\VEN_PNP&DEV_0C14 [ 系统设备 / Microsoft Windows Management Interface for ACPI ] 设备属性: 描述 Microsoft Windows Management Interface for ACPI 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 wmiacpi.inf INF Section WMIMAP_Inst.NT 硬件 ID ACPI\VEN_PNP&DEV_0C14 [ 系统设备 / Microsoft Windows Management Interface for ACPI ] 设备属性: 描述 Microsoft Windows Management Interface for ACPI 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 wmiacpi.inf INF Section WMIMAP_Inst.NT 硬件 ID ACPI\VEN_PNP&DEV_0C14 [ 系统设备 / Microsoft 基本呈现驱动程序 ] 设备属性: 描述 Microsoft 基本呈现驱动程序 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.84 驱动程序提供商 Microsoft INF 文件 basicrender.inf INF Section BasicRender 硬件 ID ROOT\BasicRender [ 系统设备 / Microsoft 基本显示驱动程序 ] 设备属性: 描述 Microsoft 基本显示驱动程序 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 basicdisplay.inf INF Section MSBDD_Fallback 硬件 ID ROOT\BasicDisplay [ 系统设备 / Microsoft 虚拟驱动器枚举器 ] 设备属性: 描述 Microsoft 虚拟驱动器枚举器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 vdrvroot.inf INF Section VDRVROOT 硬件 ID ROOT\vdrvroot [ 系统设备 / NDIS 虚拟网络适配器枚举器 ] 设备属性: 描述 NDIS 虚拟网络适配器枚举器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 ndisvirtualbus.inf INF Section NdisVirtualBus_Device.NT 硬件 ID ROOT\NdisVirtualBus [ 系统设备 / PCI Express 根复合体 ] 设备属性: 描述 PCI Express 根复合体 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 pci.inf INF Section PCI_ROOT 硬件 ID ACPI\VEN_PNP&DEV_0A08 资源: 内存 000A0000-000BFFFF 内存 9FA00000-FEAFFFFF I/O 端口 0000-0CF7 I/O 端口 0D00-FFFF [ 系统设备 / PCI 标准主机 CPU 桥 ] 设备属性: 描述 PCI 标准主机 CPU 桥 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV 硬件 ID PCI\VEN_8086&DEV_0A04&SUBSYS_091B1025&REV_0B 位置信息 PCI 总线 0、设备 0、功能 0 PCI 设备 Intel Haswell-ULT - Host Bridge/DRAM Controller [ 系统设备 / Synaptics SMBus Driver ] 设备属性: 描述 Synaptics SMBus Driver 驱动程序日期 2013/4/12 驱动程序版本 16.3.12.34 驱动程序提供商 Synaptics INF 文件 oem6.inf INF Section SynapticsInstallIntel 硬件 ID PCI\VEN_8086&DEV_9C22&SUBSYS_091B1025&REV_04 位置信息 PCI 总线 0、设备 31、功能 3 PCI 设备 Intel Lynx Point-LP PCH - SMBus Controller [B2] 资源: IRQ 18 内存 B3719000-B37190FF I/O 端口 5040-505F [ 系统设备 / UMBus Root Bus Enumerator ] 设备属性: 描述 UMBus Root Bus Enumerator 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 umbus.inf INF Section UmBusRoot_Device.NT 硬件 ID root\umbus [ 系统设备 / 充电均衡驱动程序 ] 设备属性: 描述 充电均衡驱动程序 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 ChargeArbitration.inf INF Section CAD_Inst.NT 硬件 ID ROOT\CAD [ 系统设备 / 复合总线枚举器 ] 设备属性: 描述 复合总线枚举器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 compositebus.inf INF Section CompositeBus_Device.NT 硬件 ID ROOT\CompositeBus [ 系统设备 / 高精度事件计时器 ] 设备属性: 描述 高精度事件计时器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_HPET 硬件 ID ACPI\VEN_PNP&DEV_0103 [ 系统设备 / 即插即用软件设备枚举器 ] 设备属性: 描述 即插即用软件设备枚举器 驱动程序日期 2019/12/6 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 swenum.inf INF Section SWENUM 硬件 ID ROOT\SWENUM [ 系统设备 / 旧设备 ] 设备属性: 描述 旧设备 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_MEM 硬件 ID ACPI\VEN_INT&DEV_0800 [ 系统设备 / 卷管理器 ] 设备属性: 描述 卷管理器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 volmgr.inf INF Section Volmgr 硬件 ID ROOT\VOLMGR [ 系统设备 / 可编程中断控制器 ] 设备属性: 描述 可编程中断控制器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_PIC 硬件 ID ACPI\VEN_PNP&DEV_0000 [ 系统设备 / 母板资源 ] 设备属性: 描述 母板资源 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_MBRES 硬件 ID ACPI\VEN_INT&DEV_340E [ 系统设备 / 母板资源 ] 设备属性: 描述 母板资源 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_MBRES 硬件 ID ACPI\VEN_PNP&DEV_0C02 [ 系统设备 / 母板资源 ] 设备属性: 描述 母板资源 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_MBRES 硬件 ID ACPI\VEN_PNP&DEV_0C02 [ 系统设备 / 母板资源 ] 设备属性: 描述 母板资源 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_MBRES 硬件 ID ACPI\VEN_INT&DEV_3F0D [ 系统设备 / 母板资源 ] 设备属性: 描述 母板资源 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_MBRES 硬件 ID ACPI\VEN_PNP&DEV_0C02 [ 系统设备 / 系统 CMOS/实时时钟 ] 设备属性: 描述 系统 CMOS/实时时钟 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_X 硬件 ID ACPI\VEN_PNP&DEV_0B00 资源: IRQ 08 I/O 端口 0070-0077 [ 系统设备 / 系统计时器 ] 设备属性: 描述 系统计时器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_X 硬件 ID ACPI\VEN_PNP&DEV_0100 [ 系统设备 / 远程桌面设备重定向程序总线 ] 设备属性: 描述 远程桌面设备重定向程序总线 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 rdpbus.inf INF Section RDPBUS 硬件 ID ROOT\RDPBUS [ 系统设备 / 直接内存访问控制器 ] 设备属性: 描述 直接内存访问控制器 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 machine.inf INF Section NO_DRV_X 硬件 ID ACPI\VEN_PNP&DEV_0200 [ 显示适配器 / Intel(R) HD Graphics Family ] 设备属性: 描述 Intel(R) HD Graphics Family 驱动程序日期 2016/5/25 驱动程序版本 20.19.15.4463 驱动程序提供商 Intel Corporation INF 文件 oem9.inf INF Section iHSWM_w10 硬件 ID PCI\VEN_8086&DEV_0A16&SUBSYS_091C1025&REV_0B 位置信息 PCI 总线 0、设备 2、功能 0 PCI 设备 Intel Haswell-ULT GT2 - Integrated Graphics Controller 资源: IRQ 65536 内存 000A0000-000BFFFF 内存 B3000000-B33FFFFF 内存 C0000000-CFFFFFFF I/O 端口 03B0-03BB I/O 端口 03C0-03DF I/O 端口 5000-503F 显示适配器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 显示适配器 / NVIDIA GeForce GTX 850M ] 设备属性: 描述 NVIDIA GeForce GTX 850M 驱动程序日期 2020/10/22 驱动程序版本 27.21.14.5709 驱动程序提供商 NVIDIA INF 文件 oem14.inf INF Section Section012 硬件 ID PCI\VEN_10DE&DEV_1391&SUBSYS_091C1025&REV_A2 位置信息 PCI 总线 3、设备 0、功能 0 PCI 设备 nVIDIA GeForce GTX 850M (Acer) Video Adapter 资源: IRQ 65536 内存 A0000000-AFFFFFFF 内存 B0000000-B1FFFFFF 内存 B2000000-B2FFFFFF 显示适配器制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ 音频输入和输出 / 麦克风 (Realtek High Definition Audio) ] 设备属性: 描述 麦克风 (Realtek High Definition Audio) 驱动程序日期 2019/12/6 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 audioendpoint.inf INF Section NO_DRV 硬件 ID MMDEVAPI\AudioEndpoints [ 音频输入和输出 / 扬声器 (Realtek High Definition Audio) ] 设备属性: 描述 扬声器 (Realtek High Definition Audio) 驱动程序日期 2019/12/6 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 audioendpoint.inf INF Section NO_DRV 硬件 ID MMDEVAPI\AudioEndpoints [ 照相机 / HD WebCam ] 设备属性: 描述 HD WebCam 驱动程序日期 2006/6/21 驱动程序版本 10.0.19041.1 驱动程序提供商 Microsoft INF 文件 usbvideo.inf INF Section USBVideo.NT 硬件 ID USB\VID_04F2&PID_B474&REV_2860&MI_00 位置信息 0000.001d.0000.001.007.000.000.000.000 --------[ 物理设备 ]---------------------------------------------------------------------------------------------------- PCI 设备 : 总线 2, 设备 0, 功能 0 Atheros AR5BWB222 Wireless Network Adapter 总线 0, 设备 0, 功能 0 Intel Haswell-ULT - Host Bridge/DRAM Controller 总线 0, 设备 2, 功能 0 Intel Haswell-ULT GT2 - Integrated Graphics Controller 总线 0, 设备 27, 功能 0 Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] 总线 0, 设备 22, 功能 0 Intel Lynx Point-LP PCH - Host Embedded Controller Interface 1 (HECI1) [B2] 总线 0, 设备 31, 功能 0 Intel Lynx Point-LP PCH - LPC Controller (Premium) [B2] 总线 0, 设备 28, 功能 0 Intel Lynx Point-LP PCH - PCI Express Root Port 3 [B2] 总线 0, 设备 28, 功能 3 Intel Lynx Point-LP PCH - PCI Express Root Port 4 [B2] 总线 0, 设备 28, 功能 4 Intel Lynx Point-LP PCH - PCI Express Root Port 5 [B2] 总线 0, 设备 31, 功能 2 Intel Lynx Point-LP PCH - SATA AHCI Controller [B2] 总线 0, 设备 31, 功能 3 Intel Lynx Point-LP PCH - SMBus Controller [B2] 总线 0, 设备 31, 功能 6 Intel Lynx Point-LP PCH - Thermal Controller [B2] 总线 0, 设备 29, 功能 0 Intel Lynx Point-LP PCH - USB 2.0 EHCI Host Controller 1 [B2] 总线 0, 设备 20, 功能 0 Intel Lynx Point-LP PCH - USB 3.0 xHCI Host Controller [B2] 总线 3, 设备 0, 功能 0 nVIDIA GeForce GTX 850M (Acer) Video Adapter 总线 1, 设备 0, 功能 0 Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter PnP 设备: PNP0C08 ACPI Driver/BIOS PNP0A08 ACPI Three-wire Device Bus FIXEDBUTTON ACPI 固定功能按钮 THERMALZONE ACPI 热区域 THERMALZONE ACPI 热区域 THERMALZONE ACPI 热区域 THERMALZONE ACPI 热区域 PNP0C0A Control Method Battery PNP0200 DMA Controller PNP0C09 Embedded Controller Device PNP0C0B Fan PNP0C0B Fan PNP0C0B Fan PNP0C0B Fan PNP0C0B Fan PNP0103 High Precision Event Timer INT0800 Intel Flash EEPROM INT33C3 Intel Lynx Point-LP PCH - Serial IO I2C Host Controller INT340E Intel System Device INT3F0D Intel Watchdog Timer GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_69_-_INTEL(R)_CORE(TM)_I5-4210U_CPU_@_1.70GHZIntel(R) Core(TM) i5-4210U CPU @ 1.70GHz GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_69_-_INTEL(R)_CORE(TM)_I5-4210U_CPU_@_1.70GHZIntel(R) Core(TM) i5-4210U CPU @ 1.70GHz GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_69_-_INTEL(R)_CORE(TM)_I5-4210U_CPU_@_1.70GHZIntel(R) Core(TM) i5-4210U CPU @ 1.70GHz GENUINEINTEL_-_INTEL64_FAMILY_6_MODEL_69_-_INTEL(R)_CORE(TM)_I5-4210U_CPU_@_1.70GHZIntel(R) Core(TM) i5-4210U CPU @ 1.70GHz PNP0C0D Lid ACPI0003 Microsoft AC Adapter PNP0C14 Microsoft Windows Management Interface for ACPI PNP0C14 Microsoft Windows Management Interface for ACPI PNP0C14 Microsoft Windows Management Interface for ACPI PNP0C0C Power Button PNP0000 Programmable Interrupt Controller 10250759 PS/2 标准键盘 PNP0B00 Real-Time Clock PNP0C0E Sleep Button SYN1B7F Synaptics I2C TouchPad PNP0100 System Timer PNP0C02 Thermal Monitoring ACPI Device PNP0C02 Thermal Monitoring ACPI Device PNP0C02 Thermal Monitoring ACPI Device USB 设备: 0489 E076 Bluetooth USB Module 8087 8000 Generic USB Hub 04F2 B474 HD WebCam 0BDA 0129 Realtek USB 2.0 Card Reader 04F2 B474 USB Composite Device 2717 5009 USB Composite Device 2717 5009 USB 输入设备 2717 5009 USB 输入设备 --------[ PCI 设备 ]--------------------------------------------------------------------------------------------------- [ Atheros AR5BWB222 Wireless Network Adapter ] 设备属性: 设备描述 Atheros AR5BWB222 Wireless Network Adapter 总线类型 PCI Express 2.0 x1 总线/设备/功能 2 / 0 / 0 设备 ID 168C-0034 子系统 ID 105B-E07D 设备类别 0280 (Network Controller) 修订 01 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Haswell-ULT - Host Bridge/DRAM Controller ] 设备属性: 设备描述 Intel Haswell-ULT - Host Bridge/DRAM Controller 总线类型 PCI 总线/设备/功能 0 / 0 / 0 设备 ID 8086-0A04 子系统 ID 1025-091B 设备类别 0600 (Host/PCI Bridge) 修订 0B Fast Back-to-Back Transactions 支持, 已禁用 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Haswell-ULT GT2 - Integrated Graphics Controller ] 设备属性: 设备描述 Intel Haswell-ULT GT2 - Integrated Graphics Controller 总线类型 PCI 总线/设备/功能 0 / 2 / 0 设备 ID 8086-0A16 子系统 ID 1025-091C 设备类别 0300 (VGA Display Controller) 修订 0B Fast Back-to-Back Transactions 支持, 已禁用 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 显示适配器制造商: 公司名称 Intel Corporation 产品信息 https://www.intel.com/products/chipsets 驱动程序下载 https://www.intel.com/support/graphics 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] 总线类型 PCI Express 1.0 总线/设备/功能 0 / 27 / 0 设备 ID 8086-9C20 子系统 ID 1025-091B 设备类别 0403 (High Definition Audio) 修订 04 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - Host Embedded Controller Interface 1 (HECI1) [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - Host Embedded Controller Interface 1 (HECI1) [B2] 总线类型 PCI 总线/设备/功能 0 / 22 / 0 设备 ID 8086-9C3A 子系统 ID 1025-091B 设备类别 0780 (Communications Controller) 修订 04 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - LPC Controller (Premium) [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - LPC Controller (Premium) [B2] 总线类型 PCI 总线/设备/功能 0 / 31 / 0 设备 ID 8086-9C43 子系统 ID 1025-091B 设备类别 0601 (PCI/ISA Bridge) 修订 04 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - PCI Express Root Port 3 [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - PCI Express Root Port 3 [B2] 总线类型 PCI 总线/设备/功能 0 / 28 / 0 设备 ID 8086-9C14 子系统 ID 0000-0000 设备类别 0604 (PCI/PCI Bridge) 修订 E4 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - PCI Express Root Port 4 [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - PCI Express Root Port 4 [B2] 总线类型 PCI 总线/设备/功能 0 / 28 / 3 设备 ID 8086-9C16 子系统 ID 0000-0000 设备类别 0604 (PCI/PCI Bridge) 修订 E4 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - PCI Express Root Port 5 [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - PCI Express Root Port 5 [B2] 总线类型 PCI 总线/设备/功能 0 / 28 / 4 设备 ID 8086-9C18 子系统 ID 0000-0000 设备类别 0604 (PCI/PCI Bridge) 修订 E4 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - SATA AHCI Controller [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - SATA AHCI Controller [B2] 总线类型 PCI 总线/设备/功能 0 / 31 / 2 设备 ID 8086-9C03 子系统 ID 1025-091B 设备类别 0106 (SATA Controller) 修订 04 Fast Back-to-Back Transactions 支持, 已禁用 设备特性: 66MHz 操作 支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - SMBus Controller [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - SMBus Controller [B2] 总线类型 PCI 总线/设备/功能 0 / 31 / 3 设备 ID 8086-9C22 子系统 ID 1025-091B 设备类别 0C05 (SMBus Controller) 修订 04 Fast Back-to-Back Transactions 支持, 已禁用 设备特性: 66MHz 操作 不支持 Bus Mastering 已禁用 [ Intel Lynx Point-LP PCH - Thermal Controller [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - Thermal Controller [B2] 总线类型 PCI 总线/设备/功能 0 / 31 / 6 设备 ID 8086-9C24 子系统 ID 1025-091B 设备类别 1180 (Data Acquisition / Signal Processing Controller) 修订 04 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已禁用 [ Intel Lynx Point-LP PCH - USB 2.0 EHCI Host Controller 1 [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - USB 2.0 EHCI Host Controller 1 [B2] 总线类型 PCI 总线/设备/功能 0 / 29 / 0 设备 ID 8086-9C26 子系统 ID 1025-091B 设备类别 0C03 (USB2 EHCI Controller) 修订 04 Fast Back-to-Back Transactions 支持, 已禁用 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ Intel Lynx Point-LP PCH - USB 3.0 xHCI Host Controller [B2] ] 设备属性: 设备描述 Intel Lynx Point-LP PCH - USB 3.0 xHCI Host Controller [B2] 总线类型 PCI 总线/设备/功能 0 / 20 / 0 设备 ID 8086-9C31 子系统 ID 1025-091B 设备类别 0C03 (USB3 xHCI Controller) 修订 04 Fast Back-to-Back Transactions 支持, 已禁用 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 [ nVIDIA GeForce GTX 850M (Acer) Video Adapter ] 设备属性: 设备描述 nVIDIA GeForce GTX 850M (Acer) Video Adapter 总线类型 PCI Express 2.0 x16 总线/设备/功能 3 / 0 / 0 设备 ID 10DE-1391 子系统 ID 1025-091C 设备类别 0302 (3D Controller) 修订 A2 Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 显示适配器制造商: 公司名称 NVIDIA Corporation 产品信息 https://www.nvidia.com/geforce 驱动程序下载 https://www.nvidia.com/drivers 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates [ Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter ] 设备属性: 设备描述 Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter 总线类型 PCI Express 2.0 x1 总线/设备/功能 1 / 0 / 0 设备 ID 10EC-8168 子系统 ID 10EC-0123 设备类别 0200 (Ethernet Controller) 修订 0C Fast Back-to-Back Transactions 不支持 设备特性: 66MHz 操作 不支持 Bus Mastering 已启用 网络适配器制造商: 公司名称 Realtek Semiconductor Corp. 产品信息 https://www.realtek.com/products 驱动程序下载 https://www.realtek.com/downloads 驱动程序更新 http://www.aida64.com/goto/?p=drvupdates --------[ USB 设备 ]---------------------------------------------------------------------------------------------------- [ USB Composite Device (Mi Gaming Mouse) ] 设备属性: 设备描述 USB Composite Device 设备 ID 2717-5009 设备类别 03 / 01 (Human Interface Device) 设备协议 02 修订 0200h 制造商 Xiaomi Inc. 产品 Mi Gaming Mouse 序列号 207233494141 支持的 USB 版本 2.00 当前速度 Full (USB 1.1) [ Generic USB Hub ] 设备属性: 设备描述 Generic USB Hub 设备 ID 8087-8000 设备类别 09 / 00 (Hi-Speed Hub with single TT) 设备协议 01 修订 0004h 支持的 USB 版本 2.00 当前速度 High (USB 2.0) [ Bluetooth USB Module ] 设备属性: 设备描述 Bluetooth USB Module 设备 ID 0489-E076 设备类别 E0 / 01 (Bluetooth) 设备协议 01 修订 0001h 支持的 USB 版本 1.10 当前速度 Full (USB 1.1) [ USB Composite Device ] 设备属性: 设备描述 USB Composite Device 设备 ID 04F2-B474 设备类别 EF / 02 (Interface Association Descriptor) 设备协议 01 修订 2860h 支持的 USB 版本 2.00 当前速度 High (USB 2.0) [ Realtek USB 2.0 Card Reader (USB2.0-CRW) ] 设备属性: 设备描述 Realtek USB 2.0 Card Reader 设备 ID 0BDA-0129 设备类别 FF / FF 设备协议 FF 修订 3960h 制造商 Generic 产品 USB2.0-CRW 序列号 20100201396000000 支持的 USB 版本 2.00 当前速度 High (USB 2.0) --------[ 资源 ]-------------------------------------------------------------------------------------------------------- IRQ 01 独占 PS/2 标准键盘 IRQ 07 共享 Intel(R) Serial IO I2C Host Controller - 9C62 IRQ 08 独占 系统 CMOS/实时时钟 IRQ 100 独占 Microsoft ACPI-Compliant System IRQ 101 独占 Microsoft ACPI-Compliant System IRQ 102 独占 Microsoft ACPI-Compliant System IRQ 103 独占 Microsoft ACPI-Compliant System IRQ 104 独占 Microsoft ACPI-Compliant System IRQ 105 独占 Microsoft ACPI-Compliant System IRQ 106 独占 Microsoft ACPI-Compliant System IRQ 107 独占 Microsoft ACPI-Compliant System IRQ 108 独占 Microsoft ACPI-Compliant System IRQ 109 独占 Microsoft ACPI-Compliant System IRQ 110 独占 Microsoft ACPI-Compliant System IRQ 111 独占 Microsoft ACPI-Compliant System IRQ 112 独占 Microsoft ACPI-Compliant System IRQ 113 独占 Microsoft ACPI-Compliant System IRQ 114 独占 Microsoft ACPI-Compliant System IRQ 115 独占 Microsoft ACPI-Compliant System IRQ 116 独占 Microsoft ACPI-Compliant System IRQ 117 独占 Microsoft ACPI-Compliant System IRQ 118 独占 Microsoft ACPI-Compliant System IRQ 119 独占 Microsoft ACPI-Compliant System IRQ 120 独占 Microsoft ACPI-Compliant System IRQ 121 独占 Microsoft ACPI-Compliant System IRQ 122 独占 Microsoft ACPI-Compliant System IRQ 123 独占 Microsoft ACPI-Compliant System IRQ 124 独占 Microsoft ACPI-Compliant System IRQ 125 独占 Microsoft ACPI-Compliant System IRQ 126 独占 Microsoft ACPI-Compliant System IRQ 127 独占 Microsoft ACPI-Compliant System IRQ 128 独占 Microsoft ACPI-Compliant System IRQ 129 独占 Microsoft ACPI-Compliant System IRQ 130 独占 Microsoft ACPI-Compliant System IRQ 131 独占 Microsoft ACPI-Compliant System IRQ 131071 独占 Intel(R) 8 Series PCI Express Root Port #3 - 9C14 IRQ 131071 独占 Intel(R) 8 Series PCI Express Root Port #4 - 9C16 IRQ 131071 独占 Intel(R) 8 Series PCI Express Root Port #5 - 9C18 IRQ 132 独占 Microsoft ACPI-Compliant System IRQ 133 独占 Microsoft ACPI-Compliant System IRQ 134 独占 Microsoft ACPI-Compliant System IRQ 135 独占 Microsoft ACPI-Compliant System IRQ 136 独占 Microsoft ACPI-Compliant System IRQ 137 独占 Microsoft ACPI-Compliant System IRQ 138 独占 Microsoft ACPI-Compliant System IRQ 139 独占 Microsoft ACPI-Compliant System IRQ 140 独占 Microsoft ACPI-Compliant System IRQ 141 独占 Microsoft ACPI-Compliant System IRQ 142 独占 Microsoft ACPI-Compliant System IRQ 143 独占 Microsoft ACPI-Compliant System IRQ 144 独占 Microsoft ACPI-Compliant System IRQ 145 独占 Microsoft ACPI-Compliant System IRQ 146 独占 Microsoft ACPI-Compliant System IRQ 147 独占 Microsoft ACPI-Compliant System IRQ 148 独占 Microsoft ACPI-Compliant System IRQ 149 独占 Microsoft ACPI-Compliant System IRQ 150 独占 Microsoft ACPI-Compliant System IRQ 151 独占 Microsoft ACPI-Compliant System IRQ 152 独占 Microsoft ACPI-Compliant System IRQ 153 独占 Microsoft ACPI-Compliant System IRQ 154 独占 Microsoft ACPI-Compliant System IRQ 155 独占 Microsoft ACPI-Compliant System IRQ 156 独占 Microsoft ACPI-Compliant System IRQ 157 独占 Microsoft ACPI-Compliant System IRQ 158 独占 Microsoft ACPI-Compliant System IRQ 159 独占 Microsoft ACPI-Compliant System IRQ 160 独占 Microsoft ACPI-Compliant System IRQ 161 独占 Microsoft ACPI-Compliant System IRQ 162 独占 Microsoft ACPI-Compliant System IRQ 163 独占 Microsoft ACPI-Compliant System IRQ 164 独占 Microsoft ACPI-Compliant System IRQ 165 独占 Microsoft ACPI-Compliant System IRQ 166 独占 Microsoft ACPI-Compliant System IRQ 167 独占 Microsoft ACPI-Compliant System IRQ 168 独占 Microsoft ACPI-Compliant System IRQ 169 独占 Microsoft ACPI-Compliant System IRQ 170 独占 Microsoft ACPI-Compliant System IRQ 171 独占 Microsoft ACPI-Compliant System IRQ 172 独占 Microsoft ACPI-Compliant System IRQ 173 独占 Microsoft ACPI-Compliant System IRQ 174 独占 Microsoft ACPI-Compliant System IRQ 175 独占 Microsoft ACPI-Compliant System IRQ 176 独占 Microsoft ACPI-Compliant System IRQ 177 独占 Microsoft ACPI-Compliant System IRQ 178 独占 Microsoft ACPI-Compliant System IRQ 179 独占 Microsoft ACPI-Compliant System IRQ 18 共享 Synaptics SMBus Driver IRQ 180 独占 Microsoft ACPI-Compliant System IRQ 181 独占 Microsoft ACPI-Compliant System IRQ 182 独占 Microsoft ACPI-Compliant System IRQ 183 独占 Microsoft ACPI-Compliant System IRQ 184 独占 Microsoft ACPI-Compliant System IRQ 185 独占 Microsoft ACPI-Compliant System IRQ 186 独占 Microsoft ACPI-Compliant System IRQ 187 独占 Microsoft ACPI-Compliant System IRQ 188 独占 Microsoft ACPI-Compliant System IRQ 189 独占 Microsoft ACPI-Compliant System IRQ 19 共享 Qualcomm Atheros AR5BWB222 Wireless Network Adapter IRQ 190 独占 Microsoft ACPI-Compliant System IRQ 191 独占 Microsoft ACPI-Compliant System IRQ 192 独占 Microsoft ACPI-Compliant System IRQ 193 独占 Microsoft ACPI-Compliant System IRQ 194 独占 Microsoft ACPI-Compliant System IRQ 195 独占 Microsoft ACPI-Compliant System IRQ 196 独占 Microsoft ACPI-Compliant System IRQ 197 独占 Microsoft ACPI-Compliant System IRQ 198 独占 Microsoft ACPI-Compliant System IRQ 199 独占 Microsoft ACPI-Compliant System IRQ 200 独占 Microsoft ACPI-Compliant System IRQ 201 独占 Microsoft ACPI-Compliant System IRQ 202 独占 Microsoft ACPI-Compliant System IRQ 203 独占 Microsoft ACPI-Compliant System IRQ 204 独占 Microsoft ACPI-Compliant System IRQ 22 共享 High Definition Audio 控制器 IRQ 23 共享 Intel(R) 8 Series USB Enhanced Host Controller #1 - 9C26 IRQ 256 独占 Microsoft ACPI-Compliant System IRQ 257 独占 Microsoft ACPI-Compliant System IRQ 258 独占 Microsoft ACPI-Compliant System IRQ 259 独占 Microsoft ACPI-Compliant System IRQ 260 独占 Microsoft ACPI-Compliant System IRQ 261 独占 Microsoft ACPI-Compliant System IRQ 262 独占 Microsoft ACPI-Compliant System IRQ 263 独占 Microsoft ACPI-Compliant System IRQ 264 独占 Microsoft ACPI-Compliant System IRQ 265 独占 Microsoft ACPI-Compliant System IRQ 266 独占 Microsoft ACPI-Compliant System IRQ 267 独占 Microsoft ACPI-Compliant System IRQ 268 独占 Microsoft ACPI-Compliant System IRQ 269 独占 Microsoft ACPI-Compliant System IRQ 270 独占 Microsoft ACPI-Compliant System IRQ 271 独占 Microsoft ACPI-Compliant System IRQ 272 独占 Microsoft ACPI-Compliant System IRQ 273 独占 Microsoft ACPI-Compliant System IRQ 274 独占 Microsoft ACPI-Compliant System IRQ 275 独占 Microsoft ACPI-Compliant System IRQ 276 独占 Microsoft ACPI-Compliant System IRQ 277 独占 Microsoft ACPI-Compliant System IRQ 278 独占 Microsoft ACPI-Compliant System IRQ 279 独占 Microsoft ACPI-Compliant System IRQ 280 独占 Microsoft ACPI-Compliant System IRQ 281 独占 Microsoft ACPI-Compliant System IRQ 282 独占 Microsoft ACPI-Compliant System IRQ 283 独占 Microsoft ACPI-Compliant System IRQ 284 独占 Microsoft ACPI-Compliant System IRQ 285 独占 Microsoft ACPI-Compliant System IRQ 286 独占 Microsoft ACPI-Compliant System IRQ 287 独占 Microsoft ACPI-Compliant System IRQ 288 独占 Microsoft ACPI-Compliant System IRQ 289 独占 Microsoft ACPI-Compliant System IRQ 290 独占 Microsoft ACPI-Compliant System IRQ 291 独占 Microsoft ACPI-Compliant System IRQ 292 独占 Microsoft ACPI-Compliant System IRQ 293 独占 Microsoft ACPI-Compliant System IRQ 294 独占 Microsoft ACPI-Compliant System IRQ 295 独占 Microsoft ACPI-Compliant System IRQ 296 独占 Microsoft ACPI-Compliant System IRQ 297 独占 Microsoft ACPI-Compliant System IRQ 298 独占 Microsoft ACPI-Compliant System IRQ 299 独占 Microsoft ACPI-Compliant System IRQ 300 独占 Microsoft ACPI-Compliant System IRQ 301 独占 Microsoft ACPI-Compliant System IRQ 302 独占 Microsoft ACPI-Compliant System IRQ 303 独占 Microsoft ACPI-Compliant System IRQ 304 独占 Microsoft ACPI-Compliant System IRQ 305 独占 Microsoft ACPI-Compliant System IRQ 306 独占 Microsoft ACPI-Compliant System IRQ 307 独占 Microsoft ACPI-Compliant System IRQ 308 独占 Microsoft ACPI-Compliant System IRQ 309 独占 Microsoft ACPI-Compliant System IRQ 310 独占 Microsoft ACPI-Compliant System IRQ 311 独占 Microsoft ACPI-Compliant System IRQ 312 独占 Microsoft ACPI-Compliant System IRQ 313 独占 Microsoft ACPI-Compliant System IRQ 314 独占 Microsoft ACPI-Compliant System IRQ 315 独占 Microsoft ACPI-Compliant System IRQ 316 独占 Microsoft ACPI-Compliant System IRQ 317 独占 Microsoft ACPI-Compliant System IRQ 318 独占 Microsoft ACPI-Compliant System IRQ 319 独占 Microsoft ACPI-Compliant System IRQ 320 独占 Microsoft ACPI-Compliant System IRQ 321 独占 Microsoft ACPI-Compliant System IRQ 322 独占 Microsoft ACPI-Compliant System IRQ 323 独占 Microsoft ACPI-Compliant System IRQ 324 独占 Microsoft ACPI-Compliant System IRQ 325 独占 Microsoft ACPI-Compliant System IRQ 326 独占 Microsoft ACPI-Compliant System IRQ 327 独占 Microsoft ACPI-Compliant System IRQ 328 独占 Microsoft ACPI-Compliant System IRQ 329 独占 Microsoft ACPI-Compliant System IRQ 330 独占 Microsoft ACPI-Compliant System IRQ 331 独占 Microsoft ACPI-Compliant System IRQ 332 独占 Microsoft ACPI-Compliant System IRQ 333 独占 Microsoft ACPI-Compliant System IRQ 334 独占 Microsoft ACPI-Compliant System IRQ 335 独占 Microsoft ACPI-Compliant System IRQ 336 独占 Microsoft ACPI-Compliant System IRQ 337 独占 Microsoft ACPI-Compliant System IRQ 338 独占 Microsoft ACPI-Compliant System IRQ 339 独占 Microsoft ACPI-Compliant System IRQ 340 独占 Microsoft ACPI-Compliant System IRQ 341 独占 Microsoft ACPI-Compliant System IRQ 342 独占 Microsoft ACPI-Compliant System IRQ 343 独占 Microsoft ACPI-Compliant System IRQ 344 独占 Microsoft ACPI-Compliant System IRQ 345 独占 Microsoft ACPI-Compliant System IRQ 346 独占 Microsoft ACPI-Compliant System IRQ 347 独占 Microsoft ACPI-Compliant System IRQ 348 独占 Microsoft ACPI-Compliant System IRQ 349 独占 Microsoft ACPI-Compliant System IRQ 350 独占 Microsoft ACPI-Compliant System IRQ 351 独占 Microsoft ACPI-Compliant System IRQ 352 独占 Microsoft ACPI-Compliant System IRQ 353 独占 Microsoft ACPI-Compliant System IRQ 354 独占 Microsoft ACPI-Compliant System IRQ 355 独占 Microsoft ACPI-Compliant System IRQ 356 独占 Microsoft ACPI-Compliant System IRQ 357 独占 Microsoft ACPI-Compliant System IRQ 358 独占 Microsoft ACPI-Compliant System IRQ 359 独占 Microsoft ACPI-Compliant System IRQ 360 独占 Microsoft ACPI-Compliant System IRQ 361 独占 Microsoft ACPI-Compliant System IRQ 362 独占 Microsoft ACPI-Compliant System IRQ 363 独占 Microsoft ACPI-Compliant System IRQ 364 独占 Microsoft ACPI-Compliant System IRQ 365 独占 Microsoft ACPI-Compliant System IRQ 366 独占 Microsoft ACPI-Compliant System IRQ 367 独占 Microsoft ACPI-Compliant System IRQ 368 独占 Microsoft ACPI-Compliant System IRQ 369 独占 Microsoft ACPI-Compliant System IRQ 370 独占 Microsoft ACPI-Compliant System IRQ 371 独占 Microsoft ACPI-Compliant System IRQ 372 独占 Microsoft ACPI-Compliant System IRQ 373 独占 Microsoft ACPI-Compliant System IRQ 374 独占 Microsoft ACPI-Compliant System IRQ 375 独占 Microsoft ACPI-Compliant System IRQ 376 独占 Microsoft ACPI-Compliant System IRQ 377 独占 Microsoft ACPI-Compliant System IRQ 378 独占 Microsoft ACPI-Compliant System IRQ 379 独占 Microsoft ACPI-Compliant System IRQ 380 独占 Microsoft ACPI-Compliant System IRQ 381 独占 Microsoft ACPI-Compliant System IRQ 382 独占 Microsoft ACPI-Compliant System IRQ 383 独占 Microsoft ACPI-Compliant System IRQ 384 独占 Microsoft ACPI-Compliant System IRQ 385 独占 Microsoft ACPI-Compliant System IRQ 386 独占 Microsoft ACPI-Compliant System IRQ 387 独占 Microsoft ACPI-Compliant System IRQ 388 独占 Microsoft ACPI-Compliant System IRQ 389 独占 Microsoft ACPI-Compliant System IRQ 39 独占 I2C HID 设备 IRQ 390 独占 Microsoft ACPI-Compliant System IRQ 391 独占 Microsoft ACPI-Compliant System IRQ 392 独占 Microsoft ACPI-Compliant System IRQ 393 独占 Microsoft ACPI-Compliant System IRQ 394 独占 Microsoft ACPI-Compliant System IRQ 395 独占 Microsoft ACPI-Compliant System IRQ 396 独占 Microsoft ACPI-Compliant System IRQ 397 独占 Microsoft ACPI-Compliant System IRQ 398 独占 Microsoft ACPI-Compliant System IRQ 399 独占 Microsoft ACPI-Compliant System IRQ 400 独占 Microsoft ACPI-Compliant System IRQ 401 独占 Microsoft ACPI-Compliant System IRQ 402 独占 Microsoft ACPI-Compliant System IRQ 403 独占 Microsoft ACPI-Compliant System IRQ 404 独占 Microsoft ACPI-Compliant System IRQ 405 独占 Microsoft ACPI-Compliant System IRQ 406 独占 Microsoft ACPI-Compliant System IRQ 407 独占 Microsoft ACPI-Compliant System IRQ 408 独占 Microsoft ACPI-Compliant System IRQ 409 独占 Microsoft ACPI-Compliant System IRQ 410 独占 Microsoft ACPI-Compliant System IRQ 411 独占 Microsoft ACPI-Compliant System IRQ 412 独占 Microsoft ACPI-Compliant System IRQ 413 独占 Microsoft ACPI-Compliant System IRQ 414 独占 Microsoft ACPI-Compliant System IRQ 415 独占 Microsoft ACPI-Compliant System IRQ 416 独占 Microsoft ACPI-Compliant System IRQ 417 独占 Microsoft ACPI-Compliant System IRQ 418 独占 Microsoft ACPI-Compliant System IRQ 419 独占 Microsoft ACPI-Compliant System IRQ 420 独占 Microsoft ACPI-Compliant System IRQ 421 独占 Microsoft ACPI-Compliant System IRQ 422 独占 Microsoft ACPI-Compliant System IRQ 423 独占 Microsoft ACPI-Compliant System IRQ 424 独占 Microsoft ACPI-Compliant System IRQ 425 独占 Microsoft ACPI-Compliant System IRQ 426 独占 Microsoft ACPI-Compliant System IRQ 427 独占 Microsoft ACPI-Compliant System IRQ 428 独占 Microsoft ACPI-Compliant System IRQ 429 独占 Microsoft ACPI-Compliant System IRQ 430 独占 Microsoft ACPI-Compliant System IRQ 431 独占 Microsoft ACPI-Compliant System IRQ 432 独占 Microsoft ACPI-Compliant System IRQ 433 独占 Microsoft ACPI-Compliant System IRQ 434 独占 Microsoft ACPI-Compliant System IRQ 435 独占 Microsoft ACPI-Compliant System IRQ 436 独占 Microsoft ACPI-Compliant System IRQ 437 独占 Microsoft ACPI-Compliant System IRQ 438 独占 Microsoft ACPI-Compliant System IRQ 439 独占 Microsoft ACPI-Compliant System IRQ 440 独占 Microsoft ACPI-Compliant System IRQ 441 独占 Microsoft ACPI-Compliant System IRQ 442 独占 Microsoft ACPI-Compliant System IRQ 443 独占 Microsoft ACPI-Compliant System IRQ 444 独占 Microsoft ACPI-Compliant System IRQ 445 独占 Microsoft ACPI-Compliant System IRQ 446 独占 Microsoft ACPI-Compliant System IRQ 447 独占 Microsoft ACPI-Compliant System IRQ 448 独占 Microsoft ACPI-Compliant System IRQ 449 独占 Microsoft ACPI-Compliant System IRQ 450 独占 Microsoft ACPI-Compliant System IRQ 451 独占 Microsoft ACPI-Compliant System IRQ 452 独占 Microsoft ACPI-Compliant System IRQ 453 独占 Microsoft ACPI-Compliant System IRQ 454 独占 Microsoft ACPI-Compliant System IRQ 455 独占 Microsoft ACPI-Compliant System IRQ 456 独占 Microsoft ACPI-Compliant System IRQ 457 独占 Microsoft ACPI-Compliant System IRQ 458 独占 Microsoft ACPI-Compliant System IRQ 459 独占 Microsoft ACPI-Compliant System IRQ 460 独占 Microsoft ACPI-Compliant System IRQ 461 独占 Microsoft ACPI-Compliant System IRQ 462 独占 Microsoft ACPI-Compliant System IRQ 463 独占 Microsoft ACPI-Compliant System IRQ 464 独占 Microsoft ACPI-Compliant System IRQ 465 独占 Microsoft ACPI-Compliant System IRQ 466 独占 Microsoft ACPI-Compliant System IRQ 467 独占 Microsoft ACPI-Compliant System IRQ 468 独占 Microsoft ACPI-Compliant System IRQ 469 独占 Microsoft ACPI-Compliant System IRQ 470 独占 Microsoft ACPI-Compliant System IRQ 471 独占 Microsoft ACPI-Compliant System IRQ 472 独占 Microsoft ACPI-Compliant System IRQ 473 独占 Microsoft ACPI-Compliant System IRQ 474 独占 Microsoft ACPI-Compliant System IRQ 475 独占 Microsoft ACPI-Compliant System IRQ 476 独占 Microsoft ACPI-Compliant System IRQ 477 独占 Microsoft ACPI-Compliant System IRQ 478 独占 Microsoft ACPI-Compliant System IRQ 479 独占 Microsoft ACPI-Compliant System IRQ 480 独占 Microsoft ACPI-Compliant System IRQ 481 独占 Microsoft ACPI-Compliant System IRQ 482 独占 Microsoft ACPI-Compliant System IRQ 483 独占 Microsoft ACPI-Compliant System IRQ 484 独占 Microsoft ACPI-Compliant System IRQ 485 独占 Microsoft ACPI-Compliant System IRQ 486 独占 Microsoft ACPI-Compliant System IRQ 487 独占 Microsoft ACPI-Compliant System IRQ 488 独占 Microsoft ACPI-Compliant System IRQ 489 独占 Microsoft ACPI-Compliant System IRQ 490 独占 Microsoft ACPI-Compliant System IRQ 491 独占 Microsoft ACPI-Compliant System IRQ 492 独占 Microsoft ACPI-Compliant System IRQ 493 独占 Microsoft ACPI-Compliant System IRQ 494 独占 Microsoft ACPI-Compliant System IRQ 495 独占 Microsoft ACPI-Compliant System IRQ 496 独占 Microsoft ACPI-Compliant System IRQ 497 独占 Microsoft ACPI-Compliant System IRQ 498 独占 Microsoft ACPI-Compliant System IRQ 499 独占 Microsoft ACPI-Compliant System IRQ 500 独占 Microsoft ACPI-Compliant System IRQ 501 独占 Microsoft ACPI-Compliant System IRQ 502 独占 Microsoft ACPI-Compliant System IRQ 503 独占 Microsoft ACPI-Compliant System IRQ 504 独占 Microsoft ACPI-Compliant System IRQ 505 独占 Microsoft ACPI-Compliant System IRQ 506 独占 Microsoft ACPI-Compliant System IRQ 507 独占 Microsoft ACPI-Compliant System IRQ 508 独占 Microsoft ACPI-Compliant System IRQ 509 独占 Microsoft ACPI-Compliant System IRQ 510 独占 Microsoft ACPI-Compliant System IRQ 511 独占 Microsoft ACPI-Compliant System IRQ 55 独占 Microsoft ACPI-Compliant System IRQ 56 独占 Microsoft ACPI-Compliant System IRQ 57 独占 Microsoft ACPI-Compliant System IRQ 58 独占 Microsoft ACPI-Compliant System IRQ 59 独占 Microsoft ACPI-Compliant System IRQ 60 独占 Microsoft ACPI-Compliant System IRQ 61 独占 Microsoft ACPI-Compliant System IRQ 62 独占 Microsoft ACPI-Compliant System IRQ 63 独占 Microsoft ACPI-Compliant System IRQ 64 独占 Microsoft ACPI-Compliant System IRQ 65 独占 Microsoft ACPI-Compliant System IRQ 65536 独占 Intel(R) USB 3.0 可扩展主机控制器 - 1.0 (Microsoft) IRQ 65536 独占 Realtek PCIe GbE Family Controller IRQ 65536 独占 Intel(R) Management Engine Interface IRQ 65536 独占 标准 SATA AHCI 控制器 IRQ 65536 独占 Intel(R) HD Graphics Family IRQ 65536 独占 NVIDIA GeForce GTX 850M IRQ 66 独占 Microsoft ACPI-Compliant System IRQ 67 独占 Microsoft ACPI-Compliant System IRQ 68 独占 Microsoft ACPI-Compliant System IRQ 69 独占 Microsoft ACPI-Compliant System IRQ 70 独占 Microsoft ACPI-Compliant System IRQ 71 独占 Microsoft ACPI-Compliant System IRQ 72 独占 Microsoft ACPI-Compliant System IRQ 73 独占 Microsoft ACPI-Compliant System IRQ 74 独占 Microsoft ACPI-Compliant System IRQ 75 独占 Microsoft ACPI-Compliant System IRQ 76 独占 Microsoft ACPI-Compliant System IRQ 77 独占 Microsoft ACPI-Compliant System IRQ 78 独占 Microsoft ACPI-Compliant System IRQ 79 独占 Microsoft ACPI-Compliant System IRQ 80 独占 Microsoft ACPI-Compliant System IRQ 81 独占 Microsoft ACPI-Compliant System IRQ 82 独占 Microsoft ACPI-Compliant System IRQ 83 独占 Microsoft ACPI-Compliant System IRQ 84 独占 Microsoft ACPI-Compliant System IRQ 85 独占 Microsoft ACPI-Compliant System IRQ 86 独占 Microsoft ACPI-Compliant System IRQ 87 独占 Microsoft ACPI-Compliant System IRQ 88 独占 Microsoft ACPI-Compliant System IRQ 89 独占 Microsoft ACPI-Compliant System IRQ 90 独占 Microsoft ACPI-Compliant System IRQ 91 独占 Microsoft ACPI-Compliant System IRQ 92 独占 Microsoft ACPI-Compliant System IRQ 93 独占 Microsoft ACPI-Compliant System IRQ 94 独占 Microsoft ACPI-Compliant System IRQ 95 独占 Microsoft ACPI-Compliant System IRQ 96 独占 Microsoft ACPI-Compliant System IRQ 97 独占 Microsoft ACPI-Compliant System IRQ 98 独占 Microsoft ACPI-Compliant System IRQ 99 独占 Microsoft ACPI-Compliant System 内存 000A0000-000BFFFF 共享 PCI Express 根复合体 内存 000A0000-000BFFFF 共享 Intel(R) HD Graphics Family 内存 9FA00000-FEAFFFFF 共享 PCI Express 根复合体 内存 A0000000-AFFFFFFF 独占 NVIDIA GeForce GTX 850M 内存 A0000000-B1FFFFFF 独占 Intel(R) 8 Series PCI Express Root Port #5 - 9C18 内存 B0000000-B1FFFFFF 独占 NVIDIA GeForce GTX 850M 内存 B2000000-B2FFFFFF 独占 Intel(R) 8 Series PCI Express Root Port #5 - 9C18 内存 B2000000-B2FFFFFF 独占 NVIDIA GeForce GTX 850M 内存 B3000000-B33FFFFF 独占 Intel(R) HD Graphics Family 内存 B3400000-B3403FFF 独占 Realtek PCIe GbE Family Controller 内存 B3400000-B34FFFFF 独占 Intel(R) 8 Series PCI Express Root Port #3 - 9C14 内存 B3500000-B357FFFF 独占 Qualcomm Atheros AR5BWB222 Wireless Network Adapter 内存 B3500000-B35FFFFF 独占 Intel(R) 8 Series PCI Express Root Port #4 - 9C16 内存 B3600000-B3600FFF 独占 Realtek PCIe GbE Family Controller 内存 B3600000-B36FFFFF 独占 Intel(R) 8 Series PCI Express Root Port #3 - 9C14 内存 B3700000-B370FFFF 独占 Intel(R) USB 3.0 可扩展主机控制器 - 1.0 (Microsoft) 内存 B3714000-B3717FFF 独占 High Definition Audio 控制器 内存 B3718000-B371801F 独占 Intel(R) Management Engine Interface 内存 B3719000-B37190FF 独占 Synaptics SMBus Driver 内存 B371B000-B371B7FF 独占 标准 SATA AHCI 控制器 内存 B371C000-B371C3FF 独占 Intel(R) 8 Series USB Enhanced Host Controller #1 - 9C26 内存 C0000000-CFFFFFFF 独占 Intel(R) HD Graphics Family 内存 FE105000-FE105FFF 独占 Intel(R) Serial IO I2C Host Controller - 9C62 I/O 端口 0000-0CF7 共享 PCI Express 根复合体 I/O 端口 0060-0060 独占 PS/2 标准键盘 I/O 端口 0062-0062 独占 Microsoft ACPI 兼容的嵌入式控制器 I/O 端口 0064-0064 独占 PS/2 标准键盘 I/O 端口 0066-0066 独占 Microsoft ACPI 兼容的嵌入式控制器 I/O 端口 0070-0077 独占 系统 CMOS/实时时钟 I/O 端口 03B0-03BB 共享 Intel(R) HD Graphics Family I/O 端口 03C0-03DF 共享 Intel(R) HD Graphics Family I/O 端口 0D00-FFFF 共享 PCI Express 根复合体 I/O 端口 3000-3FFF 独占 Intel(R) 8 Series PCI Express Root Port #5 - 9C18 I/O 端口 4000-40FF 独占 Realtek PCIe GbE Family Controller I/O 端口 4000-4FFF 独占 Intel(R) 8 Series PCI Express Root Port #3 - 9C14 I/O 端口 5000-503F 独占 Intel(R) HD Graphics Family I/O 端口 5040-505F 独占 Synaptics SMBus Driver I/O 端口 5060-507F 独占 标准 SATA AHCI 控制器 I/O 端口 5080-5087 独占 标准 SATA AHCI 控制器 I/O 端口 5088-508F 独占 标准 SATA AHCI 控制器 I/O 端口 5090-5093 独占 标准 SATA AHCI 控制器 I/O 端口 5094-5097 独占 标准 SATA AHCI 控制器 --------[ 输入设备 ]---------------------------------------------------------------------------------------------------- [ HID Keyboard Device ] 键盘信息: 键盘名称 HID Keyboard Device 键盘类型 IBM enhanced (101- or 102-key) keyboard 键盘界面 Chinese (Simplified) - US Keyboard ANSI 编码页 936 - 简体中文(GB2312) OEM 编码页 936 - 简体中文(GB2312) 重复迟延 1 重复率 31 [ HID-compliant mouse ] 鼠标信息: 鼠标名称 HID-compliant mouse 鼠标按钮 5 左右习惯 右手 指针速度 1 双击速度 500 msec X/Y 阈值 6 / 10 滚轮一次滚动行数 3 鼠标特性: 自动跟踪活动窗口 已禁用 单击锁定 已禁用 打字时隐藏指针 已启用 鼠标滚轮 存在 自动移动指针到默认按钮 已禁用 显示指针踪迹 已禁用 Sonar 已禁用 --------[ 打印机 ]------------------------------------------------------------------------------------------------------ [ Fax ] 打印机属性: 打印机名称 Fax 默认打印机 否 共享 未共享 打印机端口 SHRFAX: 打印机驱动程序 Microsoft Shared Fax Driver (v4.00) 设备名称 Fax 打印处理器 winprint 分隔页 无 可用率 总是 优先级 1 打印队列 0 状态 未知 纸张属性: 纸张大小 A4, 210 x 297 mm 打印方向 纵向 打印质量 200 x 200 dpi Mono [ Microsoft Print to PDF (默认值) ] 打印机属性: 打印机名称 Microsoft Print to PDF 默认打印机 是 共享 未共享 打印机端口 PORTPROMPT: 打印机驱动程序 Microsoft Print To PDF (v6.03) 设备名称 Microsoft Print to PDF 打印处理器 winprint 分隔页 无 可用率 总是 优先级 1 打印队列 0 状态 未知 纸张属性: 纸张大小 A4, 210 x 297 mm 打印方向 纵向 打印质量 600 x 600 dpi Color [ Microsoft XPS Document Writer ] 打印机属性: 打印机名称 Microsoft XPS Document Writer 默认打印机 否 共享 未共享 打印机端口 PORTPROMPT: 打印机驱动程序 Microsoft XPS Document Writer v4 (v6.03) 设备名称 Microsoft XPS Document Writer 打印处理器 winprint 分隔页 无 可用率 总是 优先级 1 打印队列 0 状态 未知 纸张属性: 纸张大小 A4, 210 x 297 mm 打印方向 纵向 打印质量 600 x 600 dpi Color [ 导出为WPS PDF ] 打印机属性: 打印机名称 导出为WPS PDF 默认打印机 否 共享 未共享 打印机端口 Kingsoft Virtual Printer Port 打印机驱动程序 Kingsoft Virtual Printer Driver (v80.01) 设备名称 导出为WPS PDF 打印处理器 winprint 分隔页 无 可用率 总是 优先级 1 打印队列 0 状态 未知 纸张属性: 纸张大小 A4, 210 x 297 mm 打印方向 纵向 打印质量 600 x 600 dpi Color --------[ 自动启动 ]---------------------------------------------------------------------------------------------------- 360Safetray Registry\Common\Run D:\Program Files\360Safe\safemon\360tray.exe /start PowerShadow Registry\Common\Run C:\Program Files (x86)\PowerShadow\App\PowerRemind.exe QQPCTray Registry\Common\Run C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTRAY.EXE /regrun /qqrepair wpsphotoautoasso Registry\Common\Run E:\Program Files\WPS Office\11.1.0.11636\office6\photolaunch.exe /photo /checkasso --------[ 任务计划 ]---------------------------------------------------------------------------------------------------- [ 360ZipUpdater ] 任务计划属性: 任务计划名称 360ZipUpdater 状态 已启用 应用程序名称 by user disabled 应用程序参数 /detectupdate 工作文件夹 注释 此任务可使您安装的360压缩能及时获得最新版本。如果此任务被禁用或删除,则360压缩将无法自动获取最新的功能和安全修补。 帐户名称 XTT-20220421VKV\Administrator 创建者 上次运行时间 2022/4/29 13:17:22 下次运行时间 未知 运行任务: At log on At log on of any user [ HDDogTaskLauncher ] 任务计划属性: 任务计划名称 HDDogTaskLauncher 状态 已启用 应用程序名称 "C:\Program Files (x86)\HDDog2022\HDDogLauncher.exe" 应用程序参数 -hide 工作文件夹 注释 Starts HDDog program when logon. 帐户名称 XTT-20220421VKV\Administrator 创建者 zz 上次运行时间 1999/11/30 下次运行时间 未知 运行任务: At log on At log on of any user [ Pic_2345Upgrade Task ] 任务计划属性: 任务计划名称 Pic_2345Upgrade Task 状态 已启用 应用程序名称 "C:\Program Files (x86)\2345Soft\2345Pic\Pic_2345Upgrade.exe" 应用程序参数 工作文件夹 注释 及时更新2345看图到最新版本,使用推出的新功能。如果此任务被停用或中断,2345看图可能无法及时更新,这意味着可能有潜在安全漏洞无法被修复,同时某些新功能不能使用。 帐户名称 XTT-20220421VKV\Administrator 创建者 上次运行时间 2022/4/29 22:17:01 下次运行时间 2022/4/30 0:17:00 运行任务: Daily At 10:17:00 every day - After triggered, repeat every 2 hours for a duration of 1 day [ Pinyin_2345Upgrade Task ] 任务计划属性: 任务计划名称 Pinyin_2345Upgrade Task 状态 已启用 应用程序名称 "C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\2345PinyinTool.exe" 应用程序参数 -schedule 工作文件夹 注释 及时更新2345王牌输入法到最新版本,使用推出的新功能。如果此任务被停用或中断,2345王牌输入法可能无法及时更新,这意味着可能有潜在安全漏洞无法被修复,同时某些新功能不能使用。 帐户名称 XTT-20220421VKV\Administrator 创建者 上次运行时间 2022/4/29 13:12:23 下次运行时间 未知 运行任务: At log on At log on of any user --------[ 已安装程序 ]-------------------------------------------------------------------------------------------------- 360安全浏览器 13.1.1469.0 未知 360se6 360安全中心 2022-04-21 360安全卫士 13.1.0.1005 未知 360安全卫士 360安全中心 360压缩 4.0.0.1410 未知 360压缩 360安全中心 Adobe [ TRIAL VERSION ] 34.0.0.231 未知 Adobe F [ TRIAL VERSION ] Adobe AIDA64 [ TRIAL VERSION ] 6.70 未知 AIDA64 [ TRIAL VERSION ] FinalWire Ltd. 2022-04-29 Microsoft Visual C++ 2005 Redistributable (x64) 8.0.61186 未知 {ad8a2fa1-06e7-4b0d-927d-6e54b3d31028} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2005 Redistributable 8.0.61187 未知 {710f4c1c-cc18-4c49-8cbf-51240c89a1a2} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.7523 9.0.30729.7523 未知 {5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.7523 9.0.30729.7523 未知 {9BE518E6-ECC6-35A9-88E4-87755C07200F} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 10.0.40219 未知 {1D8E6291-B0D5-35EC-8441-6616F567A0F7} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 10.0.40219 未知 {F0C3E5D1-1ADE-321E-8167-68EF0DE699A5} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 11.0.61030.0 未知 {9bd48a22-fe5a-457c-8f10-da6c2be89eee} Microsoft Corporation Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030 11.0.61030.0 未知 {a55ac379-46b0-461a-95b1-fef5c08443f2} Microsoft Corporation Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.61135 11.0.61135 未知 {37B8F9C7-03FB-3253-8781-2517C99D7C00} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.61135 11.0.61135 未知 {CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.61135 11.0.61135 未知 {B175520C-86A2-35A7-8619-86DC379688B9} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.61135 11.0.61135 未知 {BD95A8CD-1D9F-35AD-981A-3E7925026EBB} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.40664 12.0.40664.0 未知 {e1daf4c4-2b9a-4140-8c2b-b96d404f54b3} Microsoft Corporation Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.40664 12.0.40664.0 未知 {21f70a0b-e7bf-43cf-96d8-c6145bc5c269} Microsoft Corporation Microsoft Visual C++ 2013 x64 Additional Runtime - 12.0.40664 12.0.40664 未知 {010792BA-551A-3AC0-A7EF-0FAB4156C382} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2013 x64 Minimum Runtime - 12.0.40664 12.0.40664 未知 {53CF6934-A98D-3D84-9146-FC4EDF3D5641} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2013 x86 Additional Runtime - 12.0.40664 12.0.40664 未知 {D401961D-3A20-3AC7-943B-6139D5BD490A} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2013 x86 Minimum Runtime - 12.0.40664 12.0.40664 未知 {8122DAB1-ED4D-3676-BB0A-CA368196543E} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2015-2019 Redistributable (x64) - 14.20.27508 14.20.27508.1 未知 {7b178cda-9740-4701-a92a-f168d213b343} Microsoft Corporation Microsoft Visual C++ 2015-2019 Redistributable (x86) - 14.20.27508 14.20.27508.1 未知 {8c3f057e-d6a6-4338-ac6a-f1c795a6577b} Microsoft Corporation Microsoft Visual C++ 2019 X64 Additional Runtime - 14.20.27508 14.20.27508 未知 {4931385B-094D-4DC5-BD6A-5188FE9C51DF} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2019 X64 Minimum Runtime - 14.20.27508 14.20.27508 未知 {F3241984-5A0E-4632-9025-AA16E0780A4B} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2019 X86 Additional Runtime - 14.20.27508 14.20.27508 未知 {C9DE51F8-7846-4621-815D-E8AFD3E3C0FF} Microsoft Corporation 2020-12-15 Microsoft Visual C++ 2019 X86 Minimum Runtime - 14.20.27508 14.20.27508 未知 {B96F6FA1-530F-42F1-9F71-33C583716340} Microsoft Corporation 2020-12-15 NVIDIA Display Container [中文(中国)] 1.28 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplayContainer NVIDIA Corporation 2022-04-21 NVIDIA Display Container LS [中文(中国)] 1.28 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplayContainerLS NVIDIA Corporation 2022-04-21 NVIDIA Display MessageBus [中文(中国)] 457.09 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NvDisplay.MessageBus NVIDIA Corporation 2022-04-21 NVIDIA Display Session Container [中文(中国)] 1.28 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplaySessionContainer NVIDIA Corporation 2022-04-21 NVIDIA Display Watchdog Plugin [中文(中国)] 1.28 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVDisplayPluginWatchdog NVIDIA Corporation 2022-04-21 NVIDIA Install Application [中文(中国)] 2.1002.346.0 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer NVIDIA Corporation 2022-04-21 NVIDIA 控制面板 457.09 [中文(中国)] 457.09 未知 {B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel NVIDIA Corporation 2022-04-21 QQ游戏 5.30.57563.0 未知 QQ游戏 腾讯公司 QQ游戏大厅微端 3.2.1.2 未知 QQ游戏大厅微端 Tencent Q宠大乐斗 3.2.1.2 未知 Q宠大乐斗 Tencent Realtek Card Reader 10.0.10586.31225 未知 {5BC2B5AB-80DE-4E83-B8CF-426902051D0A} Realtek Semiconduct Corp. Realtek High Definition Audio Driver 6.0.1.7865 未知 {F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC} Realtek Semiconductor Corp. VBA (2 [ TRIAL VERSION ] 6.03.00.9402 未知 {5545EE [ TRIAL VERSION ] Microsoft Corporation 2020-12-20 VBA (2 [ TRIAL VERSION ] 6.03.00.9402 未知 {5545EE [ TRIAL VERSION ] Microsoft Corporation 2020-12-20 WPS Of [ TRIAL VERSION ] 11.1.0.11636 未知 Kingsof [ TRIAL VERSION ] Kingsoft Corp. 电脑管家 13.10.21935.215 未知 QQPCMgr 腾讯科技(深圳)有限公司 酷狗音乐 9.1.75.23834 未知 酷狗音乐 酷狗音乐 鲁大师 6.1022.3330.428 未知 Ludashi_is1 鲁大师 腾讯QQ 9.2.3.26592 未知 腾讯QQ 9.2.3_is1 腾讯科技(深圳)有限公司 2020-12-15 王牌输入法 - 2345 7.7.0.8279 未知 2345Pinyin 2345移动科技 影子系统PowerShadow 8.5 8.5.5 未知 PowerShadow Ensurebit 硬件狗狗 测试版3.0.1.19 未知 HDDog 驱动之家 --------[ 授权许可 ]---------------------------------------------------------------------------------------------------- Microsoft Internet Explorer 11.264.19041.0 W269N- [ TRIAL VERSION ] Microsoft Windows 10 Pro W269N- [ TRIAL VERSION ] --------[ 文件类型 ]---------------------------------------------------------------------------------------------------- 386 Virtual Device Driver 3G2 3GPP2 Audio/Video video/3gpp2 3GP 3GPP Audio/Video video/3gpp 3GP2 3GPP2 Audio/Video video/3gpp2 3GPP 3GPP Audio/Video video/3gpp AAC ADTS Audio audio/vnd.dlna.adts ACCOUNTPICTURE-MS Account Picture File application/windows-accountpicture ADT ADTS Audio audio/vnd.dlna.adts ADTS ADTS Audio audio/vnd.dlna.adts AIF AIFF Format Sound audio/aiff AIFC AIFF Format Sound audio/aiff AIFF AIFF Format Sound audio/aiff ANI Animated Cursor APE APE文件 APPCONTENT-MS Application Content application/windows-appcontent+xml APPLICATION Application Manifest application/x-ms-application APPREF-MS Application Reference ASA ASA File ASF Windows Media Audio/Video file video/x-ms-asf ASP ASP File ASX Windows Media Audio/Video playlist video/x-ms-asf AU AU Format Sound audio/basic AVI Video Clip video/avi BAT Windows Batch File BLG Performance Monitor File BMP Bitmap Image image/bmp CAB Cabinet File CAMP WCS Viewing Condition Profile CAT Security Catalog application/vnd.ms-pki.seccat CDA CDA文件 CDMP WCS Device Profile CDX CDX File CDXML CDXML File CER Security Certificate application/x-x509-ca-cert CHK Recovered File Fragments CHM Compiled HTML Help file CMD Windows Command Script COM MS-DOS Application COMPOSITEFONT Composite Font File CPL Control Panel Item CRL Certificate Revocation List application/pkix-crl CRT Security Certificate application/x-x509-ca-cert CSS Cascading Style Sheet Document text/css CUE CUE文件 CUR Cursor DB Data Base File DCTX Open Extended Dictionary DCTXC Open Extended Dictionary DDS DDS Image image/vnd.ms-dds DER Security Certificate application/x-x509-ca-cert DESKLINK Desktop Shortcut DESKTHEMEPACK Windows Desktop Theme Pack DFF DFF文件 DIAGCAB Diagnostic Cabinet DIAGCFG Diagnostic Configuration DIAGPKG Diagnostic Document DIB Bitmap Image image/bmp DLL Application Extension application/x-msdownload DOCX OOXML Text Document DRV Device Driver DSF DSF文件 DSN Microsoft OLE DB Provider for ODBC Drivers EIF EMOTION File EIP EMOTION Package image/EIP EMF EMF File image/x-emf EML EML File ESD ESD映像文件 EVT EVT File EVTX EVTX File EXE Application application/x-msdownload FLAC FLAC文件 audio/x-flac FON Font file GHO Gho映像文件 GIF GIF Image image/gif GMMP WCS Gamut Mapping Profile GRP Microsoft Program Group HLP Help File HTA HTML Application application/hta HTM HTML Document text/html HTML HTML Document text/html ICC ICC Profile ICL Icon Library ICM ICC Profile ICO Icon image/x-icon IGP Intel Graphics Profiles IMESX IME Search provider definition IMG Disc Image File INF Setup Information INI Configuration Settings ISO Disc Image File JFIF JPEG Image image/jpeg JOB Task Scheduler Task Object JOD Microsoft.Jet.OLEDB.4.0 JPE JPEG Image image/jpeg JPEG JPEG Image image/jpeg JPG JPEG Image image/jpeg JS JavaScript File JSE JScript Encoded File JXR Windows Media Photo image/vnd.ms-photo KGM KGM文件 KGMA KGMA文件 KIPX KIPX File LABEL Property List LIBRARY-MS Library Folder application/windows-library+xml LNK Shortcut LOG Text Document M1V Movie Clip video/mpeg M2T AVCHD Video video/vnd.dlna.mpeg-tts M2TS AVCHD Video video/vnd.dlna.mpeg-tts M2V Movie Clip video/mpeg M3U M3U file audio/x-mpegurl M4A MPEG-4 Audio audio/mp4 M4V MP4 Video video/mp4 MAPIMAIL Mail Service MHT MHTML Document message/rfc822 MHTML MHTML Document message/rfc822 MID MIDI Sequence audio/mid MIDI MIDI Sequence audio/mid MK3D MK3D Video MKA MKA Audio audio/x-matroska MKV MKV Video video/x-matroska MLC Language Pack File_ MOD Movie Clip video/mpeg MOV QuickTime Movie video/quicktime MP2 MP3 Format Sound audio/mpeg MP2V Movie Clip video/mpeg MP3 MP3文件 audio/mpeg MP4 MP4 File video/mp4 MP4V MP4 Video video/mp4 MPA Movie Clip audio/mpeg MPE Movie Clip video/mpeg MPEG Movie Clip video/mpeg MPG Movie Clip video/mpeg MPV2 Movie Clip video/mpeg MSC Microsoft Common Console Document MSI Windows Installer Package MSP Windows Installer Patch MSRCINCIDENT Windows Remote Assistance Invitation MSSTYLES Windows Visual Style File MSU Microsoft Update Standalone Package MS-WINDOWS-STORE-LICENSE Windows Store License MTS AVCHD Video video/vnd.dlna.mpeg-tts MYDOCS MyDocs Drop Target NFO MSInfo Configuration File OCX ActiveX control ODT ODF Text Document OSDX OpenSearch Description File application/opensearchdescription+xml OTF OpenType Font file P10 Certificate Request application/pkcs10 P12 Personal Information Exchange application/x-pkcs12 P7B PKCS #7 Certificates application/x-pkcs7-certificates P7M PKCS #7 MIME Message application/pkcs7-mime P7R Certificate Request Response application/x-pkcs7-certreqresp P7S PKCS #7 Signature application/pkcs7-signature PARTIAL Partial Download PBK Dial-Up Phonebook PERFMONCFG Performance Monitor Configuration PFM Type 1 Font file PFX Personal Information Exchange application/x-pkcs12 PGF PGF File PIF Shortcut to MS-DOS Program PKO Public Key Security Object application/vnd.ms-pki.pko PMV PMV File PNF Precompiled Setup Information PNG PNG Image image/png PPKG RunTime Provisioning Tool PRF PICS Rules File application/pics-rules PRINTEREXPORT Printer Migration File PS1 PS1 File PS1XML PS1XML File PSC1 PSC1 File application/PowerShell PSD1 PSD1 File PSM1 PSM1 File PSSC PSSC File QBOX QQ保险柜文件(.qbox) QDS Directory Query QGI QQ游戏安装包 QMGC QMGC File RAT Rating System File application/rat-file RDP Remote Desktop Connection REG Registration Entries RESMONCFG Resource Monitor Configuration RLE RLE File RLL Application Extension RMI MIDI Sequence audio/mid RTF Rich Text Document SCF File Explorer Command SCP Text Document SCR Screen saver SCT Windows Script Component text/scriptlet SEARCHCONNECTOR-MS Search Connector Folder application/windows-search-connector+xml SEARCH-MS Saved Search SETTINGCONTENT-MS Setting Content SFCACHE ReadyBoost Cache File SND AU Format Sound audio/basic SPC PKCS #7 Certificates application/x-pkcs7-certificates SPL Shockwave Flash Object application/futuresplash SST Microsoft Serialized Certificate Store application/vnd.ms-pki.certstore SVG SVG Document image/svg+xml SWF Shockwave Flash Object application/x-shockwave-flash SYMLINK .symlink SYS System file THEME Windows Theme File THEMEPACK Windows Theme Pack TIF TIF File image/tiff TIFF TIFF File image/tiff TS MPEG-2 TS Video video/vnd.dlna.mpeg-tts TTC TrueType Collection Font file TTF TrueType Font file TTS MPEG-2 TS Video video/vnd.dlna.mpeg-tts TXT Text Document text/plain UDL Microsoft Data Link URL URL File VBE VBScript Encoded File VBS VBScript Script File VHD Disc Image File VHDPMEM Disc Image File VHDX Disc Image File VXD Virtual Device Driver WAV WAV文件 audio/wav WAX Windows Media Audio shortcut audio/x-ms-wax WBCAT Windows Backup Catalog File WCX Workspace Configuration File WDP Windows Media Photo image/vnd.ms-photo WEBPNP Web Point And Print File WEBSITE Pinned Site Shortcut application/x-mswebsite WIM WIM映像文件 WM Windows Media Audio/Video file video/x-ms-wm WMA WMA文件 audio/x-ms-wma WMD Windows Media Player Download Package application/x-ms-wmd WMDB Windows Media Library WMF WMF File image/x-wmf WMS Windows Media Player Skin File WMV Windows Media Audio/Video file video/x-ms-wmv WMX Windows Media Audio/Video playlist video/x-ms-wmx WMZ Windows Media Player Skin Package application/x-ms-wmz WPL Windows Media playlist application/vnd.ms-wpl WSC Windows Script Component text/scriptlet WSF Windows Script File WSH Windows Script Host Settings File WSSF WSSF File WTX Text Document WVX Windows Media Audio/Video playlist video/x-ms-wvx XAML Windows Markup File application/xaml+xml XBAP XAML Browser Application application/x-ms-xbap XHT XHTML Document application/xhtml+xml XHTML XHTML Document application/xhtml+xml XML XML Document text/xml XRM-MS XrML Digital License text/xml XSL XSL Stylesheet text/xml ZFSENDTOTARGET Compressed (zipped) Folder SendTo Target ZIP Compressed (zipped) Folder application/x-zip-compressed --------[ Windows 安全中心 ]-------------------------------------------------------------------------------------------- 操作系统: 操作系统名称 Microsoft Windows 10 Pro 操作系统版本升级(SP) [ TRIAL VERSION ] Winlogon Shell explorer.exe 用户帐户控制 (UAC) 启用(静音模式) UAC Remote Restrictions 已启用 系统还原 已启用 Windows Update Agent 10.0.19041.1645 (WinBuild.160101.0800) 数据执行保护(DEP) (DEP, NX, EDB): 操作系统支持 是 处理器支持 是 启用(保护应用程序) 是 启用(保护驱动程序) 是 --------[ Windows 更新 ]------------------------------------------------------------------------------------------------ (Automatic Update) 已禁用 --------[ 防火墙 ]------------------------------------------------------------------------------------------------------ Windows 防火墙 10.0.19041.1 已禁用 --------[ 地区 ]-------------------------------------------------------------------------------------------------------- 时区: 当前时区 中国标准时间 当前时区描述 (UTC+08:00) 北京,重庆,香港特别行政区,乌鲁木齐 变更为标准时间 变更为夏令时间 语言: 语言名称 (中文) 中文(简体) 语言名称 (英语) Chinese (Simplified) 语言名称 (ISO 639) zh 地区: 地区 (中文) 中国 地区 (英语) China 地区 (ISO 3166) CN 国家代码 86 货币: 货币名称 (中文) 人民币 货币名称 (英语) Chinese Yuan 货币符号 (中文) ¥ 货币符号 (ISO 4217) CNY 货币格式 ¥123,456,789.00 货币负数格式 ¥-123,456,789.00 格式: 时间 H:mm:ss 短日期 yyyy/M/d 长日期 yyyy'年'M'月'd'日' 数字 123,456,789.00 负数 -123,456,789.00 序数 first, second, third 数字 0123456789 星期: Monday (星期一) 星期一 / 周一 Tuesday (星期二) 星期二 / 周二 Wednesday (星期三) 星期三 / 周三 Thursday (星期四) 星期四 / 周四 Friday (星期五) 星期五 / 周五 Saturday (星期六) 星期六 / 周六 Sunday (星期日) 星期日 / 周日 月份: January (一月) 一月 / 1月 February (二月) 二月 / 2月 March (三月) 三月 / 3月 April (四月) 四月 / 4月 May (五月) 五月 / 5月 June (六月) 六月 / 6月 July (七月) 七月 / 7月 August (八月) 八月 / 8月 September (九月) 九月 / 9月 October (十月) 十月 / 10月 November (十一月) 十一月 / 11月 December (十二月) 十二月 / 12月 其它: 日历类型 Gregorian (localized) 默认纸张大小 A4 度量系统 公制 显示语言: LCID 0804h (活动) 中文(简体,中国) --------[ 环境 ]-------------------------------------------------------------------------------------------------------- ALLUSERSPROFILE C:\ProgramData APPDATA C:\Users\Administrator\AppData\Roaming CommonProgramFiles(x86) C:\Program Files (x86)\Common Files CommonProgramFiles C:\Program Files (x86)\Common Files CommonProgramW6432 C:\Program Files\Common Files COMPUTERNAME XTT-20220421VKV ComSpec C:\Windows\system32\cmd.exe DEVMGR_SHOW_DETAILS 1 DriverData C:\Windows\System32\Drivers\DriverData FPS_BROWSER_APP_PROFILE_STRING Internet Explorer FPS_BROWSER_USER_PROFILE_STRING Default HOMEDRIVE C: HOMEPATH \Users\Administrator LOCALAPPDATA C:\Users\Administrator\AppData\Local LOGONSERVER \\XTT-20220421VKV NUMBER_OF_PROCESSORS 4 NVIDIAWHITELISTED 0x01 OS Windows_NT Path C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps PATHEXT .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC PROCESSOR_ARCHITECTURE x86 PROCESSOR_ARCHITEW6432 AMD64 PROCESSOR_IDENTIFIER Intel64 Family 6 Model 69 Stepping 1, GenuineIntel PROCESSOR_LEVEL 6 PROCESSOR_REVISION 4501 ProgramData C:\ProgramData ProgramFiles(x86) C:\Program Files (x86) ProgramFiles C:\Program Files (x86) ProgramW6432 C:\Program Files PSModulePath C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules PUBLIC C:\Users\Public SHIM_MCCOMPAT 0x810000001 SystemDrive C: SystemRoot C:\Windows TEMP C:\Users\ADMINI~1\AppData\Local\Temp TMP C:\Users\ADMINI~1\AppData\Local\Temp USERDOMAIN_ROAMINGPROFILE XTT-20220421VKV USERDOMAIN XTT-20220421VKV USERNAME Administrator USERPROFILE C:\Users\Administrator windir C:\Windows --------[ 控制面板 ]---------------------------------------------------------------------------------------------------- 360强力卸载 使用360软件管家的强力卸载功能来卸载软件 Flash Player 管理 Flash Player 设置 --------[ 回收站 ]------------------------------------------------------------------------------------------------------ C: 0 0 ? ? D: 0 0 ? ? E: 0 0 ? ? F: 0 0 ? ? --------[ 系统文件 ]---------------------------------------------------------------------------------------------------- [ system.ini ] ; for 16-bit app support [386Enh] woafont=dosapp.fon EGA80WOA.FON=EGA80WOA.FON EGA40WOA.FON=EGA40WOA.FON CGA80WOA.FON=CGA80WOA.FON CGA40WOA.FON=CGA40WOA.FON [drivers] wave=mmdrv.dll timer=timer.drv [mci] [ win.ini ] ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 [ hosts ] [ lmhosts.sam ] --------[ 系统文件夹 ]-------------------------------------------------------------------------------------------------- Administrative Tools C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools AppData C:\Users\Administrator\AppData\Roaming Cache C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache CD Burning C:\Users\Administrator\AppData\Local\Microsoft\Windows\Burn\Burn Common Administrative Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools Common AppData C:\ProgramData Common Desktop C:\Users\Public\Desktop Common Documents C:\Users\Public\Documents Common Favorites C:\Users\Administrator\Favorites Common Files (x86) C:\Program Files (x86)\Common Files Common Files C:\Program Files\Common Files Common Music C:\Users\Public\Music Common Pictures C:\Users\Public\Pictures Common Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs Common Start Menu C:\ProgramData\Microsoft\Windows\Start Menu Common Startup C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Common Templates C:\ProgramData\Microsoft\Windows\Templates Common Video C:\Users\Public\Videos Cookies C:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCookies Desktop C:\Users\Administrator\Desktop Device C:\Windows\inf Favorites C:\Users\Administrator\Favorites Fonts C:\Windows\Fonts History C:\Users\Administrator\AppData\Local\Microsoft\Windows\History Local AppData C:\Users\Administrator\AppData\Local My Documents C:\Users\Administrator\Documents My Music C:\Users\Administrator\Music My Pictures C:\Users\Administrator\Pictures My Video C:\Users\Administrator\Videos NetHood C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Network Shortcuts PrintHood C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Printer Shortcuts Profile C:\Users\Administrator Program Files (x86) C:\Program Files (x86) Program Files C:\Program Files Programs C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs Recent C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent Resources C:\Windows\resources SendTo C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo Start Menu C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu Startup C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup System (x86) C:\Windows\SysWOW64 System C:\Windows\system32 Temp C:\Users\ADMINI~1\AppData\Local\Temp\ Templates C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Templates Windows C:\Windows --------[ 事件日志 ]---------------------------------------------------------------------------------------------------- 应用程序 警告 1 2022-04-23 09:00:02 ESENT 642: MicrosoftEdge (69904,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-23 09:00:02 ESENT 642: MicrosoftEdge (69904,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-24 11:53:18 ESENT 642: Catalog Database (1700,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-24 11:53:18 ESENT 642: Catalog Database (1700,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-24 12:02:44 ESENT 642: MicrosoftEdge (6776,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-24 12:02:45 ESENT 642: MicrosoftEdge (6776,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 错误 无 2022-04-24 12:04:31 VSS 13: 卷影复制服务信息: 无法启动 CLSID 为 {4e14fba2-2e22-11d1-9964-00c04fbbb345} 、名称为 CEventSystem 的 COM 服务器。[0x8007045b, 系统正在关机。 ] ? 应用程序 错误 无 2022-04-24 12:04:31 VSS 13: 卷影复制服务信息: 无法启动 CLSID 为 {4e14fba2-2e22-11d1-9964-00c04fbbb345} 、名称为 CEventSystem 的 COM 服务器。[0x8007045b, 系统正在关机。 ] ? 应用程序 错误 无 2022-04-24 12:04:31 VSS 8193: 卷影复制服务错误: 调用程序 CoCreateInstance 时的意外错误。hr = 0x8007045b, 系统正在关机。 。 ? 应用程序 错误 无 2022-04-24 12:04:31 VSS 8193: 卷影复制服务错误: 调用程序 CoCreateInstance 时的意外错误。hr = 0x8007045b, 系统正在关机。 。 ? 应用程序 警告 1 2022-04-25 11:15:13 ESENT 642: Catalog Database (4360,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-25 11:15:13 ESENT 642: Catalog Database (4360,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-25 11:27:32 ESENT 642: MicrosoftEdge (5604,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-25 11:27:32 ESENT 642: MicrosoftEdge (5604,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-25 17:38:11 ESENT 642: Catalog Database (3144,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-25 17:38:11 ESENT 642: Catalog Database (3144,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-25 17:44:33 ESENT 642: MicrosoftEdge (6520,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-25 17:44:33 ESENT 642: MicrosoftEdge (6520,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-26 23:20:55 ESENT 642: Catalog Database (4484,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-26 23:20:55 ESENT 642: Catalog Database (4484,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-27 13:44:45 ESENT 642: Catalog Database (4300,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-27 13:44:46 ESENT 642: Catalog Database (4300,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-27 14:00:45 ESENT 642: MicrosoftEdge (2664,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-27 14:00:45 ESENT 642: MicrosoftEdge (2664,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-27 14:21:34 ESENT 642: Catalog Database (4300,D,50) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-27 14:21:34 ESENT 642: Catalog Database (4300,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-27 14:21:34 ESENT 642: Catalog Database (4300,D,50) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-27 14:21:34 ESENT 642: Catalog Database (4300,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-28 14:27:38 ESENT 642: Catalog Database (4736,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-28 14:27:38 ESENT 642: Catalog Database (4736,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-29 13:07:47 ESENT 642: Catalog Database (4712,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-29 13:07:48 ESENT 642: Catalog Database (4712,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-29 13:22:30 ESENT 642: Catalog Database (4712,D,50) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-29 13:22:30 ESENT 642: Catalog Database (4712,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-29 13:22:30 ESENT 642: Catalog Database (4712,D,50) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-29 13:22:30 ESENT 642: Catalog Database (4712,D,12) Catalog Database: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-29 13:28:05 ESENT 642: MicrosoftEdge (6600,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-29 13:28:06 ESENT 642: MicrosoftEdge (6600,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 应用程序 警告 1 2022-04-29 22:11:59 ESENT 642: MicrosoftEdge (13328,R,98) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9180 (0x23dc)。 应用程序 警告 1 2022-04-29 22:12:00 ESENT 642: MicrosoftEdge (13328,D,12) C:\Users\Administrator\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\DataStore\Data\nouser1\120712-0049\: 由于当前数据库格式为 1568.20.0 (由参数 0x410022D8 (8920 | JET_efvAllowHigherPersistedFormat) 控制),因此无法使用数据库格式功能版本 9080 (0x2378)。 安全性 Audit Success 13826 2022-04-22 23:05:56 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-22 23:12:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x45c4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-22 23:13:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-22 23:13:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-22 23:13:10 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x5248 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-22 23:17:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-22 23:17:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-22 23:19:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-22 23:23:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-22 23:23:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-22 23:23:52 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-22 23:23:52 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 28868 进程创建时间: 2022-04-22T15:23:51.5832214Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-22 23:23:52 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 28868 进程创建时间: 2022-04-22T15:23:51.5832214Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-22 23:31:31 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: DefaultAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-22 23:31:31 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: Guest 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-22 23:31:31 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: WDAGUtilityAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 12544 2022-04-22 23:32:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-22 23:32:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-22 23:32:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-22 23:32:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-22 23:33:03 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-22 23:33:03 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-22 23:33:03 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-22 23:33:16 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-22 23:33:16 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-22 23:33:16 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-22 23:33:18 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x7b54 进程名称: C:\Program Files (x86)\360\360zip\360zip.exe 安全性 Audit Success 12544 2022-04-22 23:37:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-22 23:37:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-22 23:38:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xa3f0 进程名称: C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 安全性 Audit Success 13824 2022-04-22 23:42:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xa528 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-22 23:42:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xa528 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-22 23:42:04 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xa528 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-22 23:48:41 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: DefaultAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-22 23:48:41 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: Guest 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-22 23:48:41 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: WDAGUtilityAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 12544 2022-04-23 00:00:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 00:00:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 00:04:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-23 00:04:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 00:04:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-23 00:04:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 00:08:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 00:08:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 00:12:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xdc34 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12290 2022-04-23 00:19:44 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 00:19:44 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 00:19:44 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-23 00:19:46 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 00:19:46 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 00:19:46 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 进程信息: 进程 ID: 4064 进程创建时间: 2022-04-22T09:35:23.3027323Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-3 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0xe208 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-3 帐户名称: UMFD-3 帐户域: Font Driver Host 登录 ID: 0x7de96d8 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0xe208 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-3 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0xe208 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-3 帐户名称: DWM-3 帐户域: Window Manager 登录 ID: 0x7dea293 链接的登录 ID: 0x7dea2ac 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0xe208 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-3 帐户名称: DWM-3 帐户域: Window Manager 登录 ID: 0x7dea2ac 链接的登录 ID: 0x7dea293 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0xe208 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-3 帐户名: DWM-3 帐户域: Window Manager 登录 ID: 0x7dea293 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-23 00:19:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-3 帐户名: DWM-3 帐户域: Window Manager 登录 ID: 0x7dea2ac 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12544 2022-04-23 00:19:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 00:19:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12545 2022-04-23 00:19:52 Microsoft-Windows-Security-Auditing 4647: 用户启动的注销: 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4ad5b06 启动注销时,将生成此事件。以后不会再发生用户启动的活动。此事件可以解释为注销事件。 安全性 Audit Success 13824 2022-04-23 00:19:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-23 00:19:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-23 00:19:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-23 00:19:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-23 00:19:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 00:19:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12545 2022-04-23 00:20:10 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-96-0-2 帐户名: UMFD-2 帐户域: Font Driver Host 登录 ID: 0x4a8c1a6 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-23 00:20:10 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-90-0-2 帐户名: DWM-2 帐户域: Window Manager 登录 ID: 0x4a9000c 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-23 00:20:10 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-90-0-2 帐户名: DWM-2 帐户域: Window Manager 登录 ID: 0x4a8fff1 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 13824 2022-04-23 08:57:34 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x93c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-23 08:57:35 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x8d4 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-23 08:57:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 链接的登录 ID: 0x7e277df 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-23 08:57:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 链接的登录 ID: 0x7e277a3 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 08:57:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 08:57:36 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x884 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12290 2022-04-23 08:57:37 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 08:57:37 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 65068 进程创建时间: 2022-04-23T00:57:37.1067827Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 08:57:37 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 65068 进程创建时间: 2022-04-23T00:57:37.1067827Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-23 08:57:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 08:57:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-23 08:57:47 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2218 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 13824 2022-04-23 08:58:14 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x105f8 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12290 2022-04-23 08:58:18 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-23 08:58:18 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 08:58:18 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 66116 进程创建时间: 2022-04-23T00:57:46.4484733Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 08:58:18 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 66116 进程创建时间: 2022-04-23T00:57:46.4484733Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 08:58:18 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 66116 进程创建时间: 2022-04-23T00:57:46.4484733Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 08:58:18 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 66116 进程创建时间: 2022-04-23T00:57:46.4484733Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13826 2022-04-23 08:58:54 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-23 08:59:02 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 08:59:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 08:59:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 08:59:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:00:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:00:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:01:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:01:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-23 09:01:16 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1226c 进程名称: C:\Windows\System32\CompatTelRunner.exe 安全性 Audit Success 13824 2022-04-23 09:02:02 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x12f1c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 09:02:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x12f1c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 09:02:04 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x12f1c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 09:02:16 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x12134 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 09:02:17 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x12134 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13824 2022-04-23 09:02:24 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x12e90 进程名称: C:\Program Files (x86)\360\360zip\360zip.exe 安全性 Audit Success 13824 2022-04-23 09:02:36 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x10f20 进程名称: C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 安全性 Audit Success 12290 2022-04-23 09:02:38 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 09:02:38 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 76368 进程创建时间: 2022-04-23T01:02:37.7597060Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 09:02:38 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 76368 进程创建时间: 2022-04-23T01:02:37.7597060Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-23 09:02:39 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x12d30 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\2345PinyinUpdate.exe 安全性 Audit Success 12544 2022-04-23 09:02:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:02:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:04:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:04:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-23 09:06:56 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: DefaultAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-23 09:06:56 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: Guest 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-23 09:06:56 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: WDAGUtilityAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 12544 2022-04-23 09:08:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:08:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:12:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:12:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 09:17:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x160a0 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 09:18:06 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:18:06 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:18:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:18:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:24:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:24:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 09:35:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:35:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 09:42:59 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-23 09:43:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 09:43:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 09:45:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-23 09:45:41 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 09:59:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x13fb0 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 10:43:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 10:43:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 10:55:46 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-23 10:58:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 10:58:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 10:59:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-23 10:59:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 10:59:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-23 10:59:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-23 10:59:25 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x6648 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 10:59:27 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x6648 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 10:59:28 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x6648 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 12544 2022-04-23 11:23:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 11:23:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-23 11:23:27 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 11:23:27 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 32724 进程创建时间: 2022-04-23T03:23:26.2873908Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 11:23:27 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 32724 进程创建时间: 2022-04-23T03:23:26.2873908Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13826 2022-04-23 11:39:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x7ecc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 11:45:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 11:58:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 11:58:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 12:02:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 12:02:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 12:10:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 12:10:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 12:12:40 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 12:19:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xbe3c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 12:26:49 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 12:32:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 12:32:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 12:33:06 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 12:55:50 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-23 13:23:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 13:23:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 13:32:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 13:32:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-23 13:59:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x121dc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 13:59:04 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x121dc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 13:59:06 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x121dc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 12544 2022-04-23 14:23:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 14:23:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-23 14:23:05 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 14:23:05 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 62220 进程创建时间: 2022-04-23T06:23:02.8309149Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 14:23:05 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 62220 进程创建时间: 2022-04-23T06:23:02.8309149Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13826 2022-04-23 14:29:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1528c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 14:32:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 14:32:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 14:36:05 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x5798 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 14:53:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 14:53:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 14:55:53 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13824 2022-04-23 14:59:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x17278 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 14:59:04 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x17278 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 14:59:06 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x17278 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-23 14:59:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x15ee4 进程名称: C:\Users\Administrator\AppData\Roaming\SoftMgr_2345\2345SoftMgr.exe 安全性 Audit Success 12544 2022-04-23 15:15:18 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 15:15:18 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 15:24:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-23 15:28:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 15:28:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-23 15:30:26 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1a684 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 15:31:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-23 15:39:40 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1158c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13824 2022-04-23 15:54:40 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x14e0c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-23 18:54:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 18:54:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-23 18:54:52 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 18:54:52 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 79904 进程创建时间: 2022-04-23T10:54:42.1580112Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-23 18:54:52 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 79904 进程创建时间: 2022-04-23T10:54:42.1580112Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-23 18:54:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:54:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-23 18:55:13 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x14e0c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-24 08:13:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:13:28 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:13:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:13:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:13:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x8d4 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa9a55b1 链接的登录 ID: 0xa9a55f7 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa9a55f7 链接的登录 ID: 0xa9a55b1 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa9a55f7 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa9a55b1 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa9a55b1 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:13:37 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:13:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:13:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 08:13:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:13:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 08:13:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:13:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:14:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x15b44 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12290 2022-04-24 08:14:13 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 08:14:13 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 08:14:13 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13826 2022-04-24 08:14:17 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12290 2022-04-24 08:14:18 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 08:14:18 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 08:14:18 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:14:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 08:14:56 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:14:56 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 08:15:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:15:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 08:16:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:16:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:16:25 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:25 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:25 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:26 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:26 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:26 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:26 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:27 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:27 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:27 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:28 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:28 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:28 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:16:28 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 08:16:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:16:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 08:16:49 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-24 08:16:57 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13824 2022-04-24 08:18:46 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x39d4 进程名称: C:\Windows\System32\CompatTelRunner.exe 安全性 Audit Success 12544 2022-04-24 08:19:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:19:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:19:58 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x37b4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-24 08:19:59 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x37b4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-24 08:20:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x37b4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 12544 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:51 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 08:20:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:20:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 08:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 08:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 08:22:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 08:22:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-24 08:23:04 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 08:23:04 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 24052 进程创建时间: 2022-04-24T00:23:02.6247023Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 08:23:04 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 24052 进程创建时间: 2022-04-24T00:23:02.6247023Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-24 08:26:58 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277a3 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x4ff8 进程名称: C:\Users\Administrator\AppData\Roaming\SoftMgr_2345\2345SoftMgr.exe 安全性 Audit Success 13826 2022-04-24 08:34:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x5394 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-24 09:03:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 09:03:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 09:12:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 09:12:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 09:13:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 09:13:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 09:13:53 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x11374 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-24 09:16:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x961c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-24 09:25:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 09:25:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-24 09:26:02 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:26:02 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:26:02 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:26:02 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:26:02 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:26:02 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:48 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 09:26:48 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa8e4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12290 2022-04-24 09:27:32 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:27:32 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:32 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:32 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:32 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:32 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:27:37 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:37 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:37 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:27:38 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:38 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:27:38 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13826 2022-04-24 09:34:17 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12290 2022-04-24 09:34:27 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:27 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:27 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:34:30 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:30 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:30 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 09:34:31 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 10:05:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 10:05:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 10:05:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 10:05:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 10:16:58 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xd500 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-24 10:16:59 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xd500 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-24 10:17:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xd500 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 12290 2022-04-24 10:24:18 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 10:24:18 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 10:24:18 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 进程信息: 进程 ID: 70880 进程创建时间: 2022-04-24T00:13:50.4145120Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 10:24:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 10:24:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12545 2022-04-24 10:24:24 Microsoft-Windows-Security-Auditing 4647: 用户启动的注销: 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7e277df 启动注销时,将生成此事件。以后不会再发生用户启动的活动。此事件可以解释为注销事件。 安全性 Audit Success 12544 2022-04-24 10:24:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x288 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 10:24:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 10:24:25 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-24 10:24:25 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-24 10:24:25 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-24 10:24:25 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x8d4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13568 2022-04-24 10:24:27 Microsoft-Windows-Security-Auditing 4907: 对象的审核设置已更改。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 对象: 对象服务器: Security 对象类型: File 对象名称: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms 句柄 ID: 0x68 进程信息: 进程 ID: 0x1a228 进程名称: C:\Windows\System32\poqexec.exe 审核设置: 原始安全描述符: ? 新安全描述符: S:ARAI(AU;SAFA;0x1f0116;;;WD) 安全性 Audit Success 13568 2022-04-24 10:24:27 Microsoft-Windows-Security-Auditing 4907: 对象的审核设置已更改。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 对象: 对象服务器: Security 对象类型: File 对象名称: C:\Windows\WinSxS\FileMaps\$$.cdf-ms 句柄 ID: 0x68 进程信息: 进程 ID: 0x1a228 进程名称: C:\Windows\System32\poqexec.exe 审核设置: 原始安全描述符: ? 新安全描述符: S:ARAI(AU;SAFA;0x1f0116;;;WD) 安全性 Audit Success 13568 2022-04-24 10:24:27 Microsoft-Windows-Security-Auditing 4907: 对象的审核设置已更改。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 对象: 对象服务器: Security 对象类型: File 对象名称: C:\Windows\WinSxS\FileMaps\$$_apppatch_1143992cbbbebcab.cdf-ms 句柄 ID: 0x68 进程信息: 进程 ID: 0x1a228 进程名称: C:\Windows\System32\poqexec.exe 审核设置: 原始安全描述符: ? 新安全描述符: S:ARAI(AU;SAFA;0x1f0116;;;WD) 安全性 Audit Success 103 2022-04-24 10:24:38 Microsoft-Windows-Eventlog 1100: 事件日志服务已关闭。 安全性 Audit Success 13312 2022-04-24 11:51:25 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:25 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-24 11:51:25 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x168 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-24 11:51:25 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-24 11:51:44 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x220 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x168 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:49 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x268 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x168 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:49 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x270 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x268 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x39c 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x168 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3a4 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x268 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3ac 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ?挹?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x44 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x250 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰??匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x44 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:51:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x240 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?4????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x44 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:52:00 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2e8 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰愳4????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3a4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 11:52:00 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2f4 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3a4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3a4 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x10bfb 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3a4 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x44 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10cc4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x44 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 13568 2022-04-24 11:52:01 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x10780 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x44 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x196dc 链接的登录 ID: 0x19701 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x44 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x19701 链接的登录 ID: 0x196dc 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x44 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x196dc 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x19701 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:52:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:52:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 11:52:08 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa14 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-24 11:52:08 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa14 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 11:52:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:52:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:52:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-24 11:52:22 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x6a4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-24 11:52:23 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x6a4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 11:52:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:52:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x5450f 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:52:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:52:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-24 11:52:31 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 13824 2022-04-24 11:52:58 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x45c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-24 11:53:21 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x82c 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 11:53:21 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8eb83 链接的登录 ID: 0x8ebcf 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x82c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:53:21 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 链接的登录 ID: 0x8eb83 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x82c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:53:21 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8eb83 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:53:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:53:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 11:53:24 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x7dc 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 11:53:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:53:28 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-24 11:53:33 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:53:33 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 6100 进程创建时间: 2022-04-24T03:53:28.1161070Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:53:33 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 6100 进程创建时间: 2022-04-24T03:53:28.1161070Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 11:53:35 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:53:35 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 3492 进程创建时间: 2022-04-24T03:53:34.2585304Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:53:35 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 3492 进程创建时间: 2022-04-24T03:53:34.2585304Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 11:54:11 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:54:11 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 11:54:13 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1ae0 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-24 11:54:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:54:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 11:54:32 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x161c 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 12544 2022-04-24 11:54:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:54:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:54:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:54:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:54:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:54:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:54:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:54:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 11:54:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcf4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-24 11:54:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcf4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12290 2022-04-24 11:55:05 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 11:55:05 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:05 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 7052 进程创建时间: 2022-04-24T03:54:12.0017227Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:05 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 7052 进程创建时间: 2022-04-24T03:54:12.0017227Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:05 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 7052 进程创建时间: 2022-04-24T03:54:12.0017227Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:05 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 7052 进程创建时间: 2022-04-24T03:54:12.0017227Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 11:55:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:55:07 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:55:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:55:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-24 11:55:19 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:19 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:19 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 11:55:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:55:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:55:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 11:55:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:55:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 11:55:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-24 11:55:43 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: RSA 密钥名称: bee30f21-7099-6e04-f3c8-36526d159f38 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:55:43 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 进程信息: 进程 ID: 3412 进程创建时间: 2022-04-24T03:55:36.2915275Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: bee30f21-7099-6e04-f3c8-36526d159f38 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\ProgramData\Microsoft\Crypto\SystemKeys\ed3ebdc4ca39a6c7133ea7a0dc0f69e6_74cb852e-622f-4750-a3e5-6c759e1631e1 操作: %%2458 返回代码: 0x0 安全性 Audit Success 13824 2022-04-24 11:55:43 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:43 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8099 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:45 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:45 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:45 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 11:55:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:55:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 11:55:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:55:46 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:56:17 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: DefaultAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-24 11:56:17 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: Guest 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-24 11:56:17 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: WDAGUtilityAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-24 11:57:59 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x9ac 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-24 11:57:59 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x9ac 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-24 11:58:00 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x9ac 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 12290 2022-04-24 11:58:02 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:02 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:02 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 11:58:03 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:03 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:03 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 11:58:05 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-24 11:58:05 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:05 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:05 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:05 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:05 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 1792 进程创建时间: 2022-04-24T03:55:16.4882794Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-24 11:58:13 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8eb83 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xdf4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-24 11:58:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xdf4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-24 11:58:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:58:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-24 11:58:29 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:29 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 9048 进程创建时间: 2022-04-24T03:58:28.3354040Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-24 11:58:29 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 进程信息: 进程 ID: 9048 进程创建时间: 2022-04-24T03:58:28.3354040Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-24 11:58:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:58:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:58:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:58:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 11:58:36 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:36 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:37 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:37 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:37 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:37 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:37 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:58:37 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x21a0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 11:59:01 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcec 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-24 11:59:01 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcec 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-24 11:59:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:59:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-24 11:59:44 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-24 12:00:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:00:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2e8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:01:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1754 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13824 2022-04-24 12:02:16 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8eb83 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1a28 进程名称: C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 安全性 Audit Success 12545 2022-04-24 12:04:13 Microsoft-Windows-Security-Auditing 4647: 用户启动的注销: 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8ebcf 启动注销时,将生成此事件。以后不会再发生用户启动的活动。此事件可以解释为注销事件。 安全性 Audit Success 13824 2022-04-24 12:04:14 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x82c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-24 12:04:14 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x82c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-24 12:04:14 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x82c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-24 12:04:14 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x82c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 103 2022-04-24 12:04:31 Microsoft-Windows-Eventlog 1100: 事件日志服务已关闭。 安全性 Audit Success 13312 2022-04-24 12:05:11 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:11 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-24 12:05:11 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x16c 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-24 12:05:11 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-24 12:05:26 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x214 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ?挶?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x16c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:31 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x258 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x16c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:31 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x258 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:32 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x364 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x16c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:32 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x36c 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x258 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:32 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x37c 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x364 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3cc 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x364 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3f8 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰挳c????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3cc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x48 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?捣?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3cc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:37 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x278 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x36c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 12:05:37 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x288 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?挶?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x36c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x36c 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x108dc 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x36c 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3cc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10a10 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3cc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3cc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x19481 链接的登录 ID: 0x194cd 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3cc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x194cd 链接的登录 ID: 0x19481 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3cc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x19481 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x194cd 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13568 2022-04-24 12:05:38 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x10467 安全性 Audit Success 12544 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 12:05:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 12:05:41 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa24 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-24 12:05:41 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa24 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 12:05:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x52cc7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xde0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-24 12:05:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xde0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 12:05:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-24 12:05:49 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 13824 2022-04-24 12:05:50 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x44c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-24 12:05:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:05:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x278 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 12:06:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x15a4 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13312 2022-04-24 18:52:05 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:05 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-24 18:52:05 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x180 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-24 18:52:05 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-24 18:52:27 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x218 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x180 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:34 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x264 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?0????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x180 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:34 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x26c 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x264 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x328 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?0????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x180 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x330 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x264 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x340 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x328 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:36 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x390 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰社8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x328 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:36 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3c0 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰?0????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x390 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:36 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3c8 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x390 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-24 18:52:40 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-24 18:52:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 13312 2022-04-24 18:52:40 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x134 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?0????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x330 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-24 18:52:40 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x190 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x330 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12544 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x330 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x10997 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x330 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x390 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10a4c 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x390 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13568 2022-04-24 18:52:41 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x104f1 安全性 Audit Success 12544 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x390 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x18b27 链接的登录 ID: 0x18b85 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x390 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x18b85 链接的登录 ID: 0x18b27 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x390 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x18b27 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x18b85 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 18:52:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 18:52:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 101 2022-04-24 18:52:49 Microsoft-Windows-Eventlog 1101: 该传输已丢弃这些审核事件。0 安全性 Audit Success 12544 2022-04-24 18:52:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 18:52:50 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x9fc 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-24 18:52:50 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x9fc 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 18:52:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-24 18:52:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x464 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-24 18:52:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 18:52:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 18:52:56 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:56 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:56 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:56 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:56 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:56 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-24 18:52:57 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-24 18:52:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-24 18:52:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 18:52:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-24 18:52:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x58766 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 18:52:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x10c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-24 18:52:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x10c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-24 18:52:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:52:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-24 18:53:02 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 12544 2022-04-24 18:53:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:53:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x134 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-24 18:53:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1664 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13312 2022-04-25 02:54:21 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:21 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-25 02:54:21 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x178 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-25 02:54:21 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-25 02:54:42 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x200 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x178 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x258 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x178 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x258 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x39c 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x178 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3a4 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x258 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3b4 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ?挹?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:53 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x44 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:53 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x23c 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰??匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x44 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:53 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x234 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?4????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x44 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:57 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2a4 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰愳4????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3a4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 02:54:57 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2b4 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3a4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3a4 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x10975 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3a4 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x44 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10a35 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x44 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 13568 2022-04-25 02:54:58 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x10510 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x44 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x18892 链接的登录 ID: 0x188ca 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x44 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x188ca 链接的登录 ID: 0x18892 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x44 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x18892 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x188ca 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:54:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 02:55:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:55:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:55:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:55:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:55:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 02:55:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 101 2022-04-25 02:55:04 Microsoft-Windows-Eventlog 1101: 该传输已丢弃这些审核事件。0 安全性 Audit Success 12544 2022-04-25 02:55:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 02:55:04 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x9d0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-25 02:55:04 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x9d0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 02:55:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:07 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 02:55:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:55:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:55:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 02:55:08 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x450 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-25 02:55:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2a4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 02:55:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13312 2022-04-25 11:13:59 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:13:59 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-25 11:13:59 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x160 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-25 11:13:59 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-25 11:14:23 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x204 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x160 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x258 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?0????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x160 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x258 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:34 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x354 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?0????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x160 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:34 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x35c 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x258 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:34 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x36c 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x354 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3bc 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x354 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3e8 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰戳c????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3bc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3f0 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?换?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3bc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-25 11:14:39 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-25 11:14:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 13312 2022-04-25 11:14:39 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x244 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x35c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 11:14:39 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x230 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?挵?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x35c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x35c 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x108df 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x35c 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3bc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x1099d 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3bc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13568 2022-04-25 11:14:40 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x10479 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3bc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x18894 链接的登录 ID: 0x188cd 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3bc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x188cd 链接的登录 ID: 0x18894 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3bc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x18894 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x188cd 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:14:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 101 2022-04-25 11:14:45 Microsoft-Windows-Eventlog 1101: 该传输已丢弃这些审核事件。0 安全性 Audit Success 12544 2022-04-25 11:14:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 11:14:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa6c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-25 11:14:47 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa6c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 11:14:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:14:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:14:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:14:50 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x448 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12292 2022-04-25 11:14:51 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-25 11:14:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1108 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-25 11:14:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1108 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 11:14:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x5a6e3 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:14:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:14:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-25 11:14:57 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 12544 2022-04-25 11:15:06 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:15:06 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:06 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:15:06 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:15:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:10 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:10 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 11:15:12 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x16d8 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-25 11:15:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:15:15 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x584 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 11:15:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8759f 链接的登录 ID: 0x875f6 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:15:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 链接的登录 ID: 0x8759f 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:15:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8759f 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 11:15:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x510 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:15:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-25 11:15:18 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:15:18 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1512 进程创建时间: 2022-04-25T03:15:17.3180421Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:15:18 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1512 进程创建时间: 2022-04-25T03:15:17.3180421Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 11:15:19 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:15:19 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 6228 进程创建时间: 2022-04-25T03:15:18.7020449Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:15:19 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 6228 进程创建时间: 2022-04-25T03:15:18.7020449Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 11:15:27 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:27 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:15:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:29 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:15:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:15:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:15:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:16:20 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5c8 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 13824 2022-04-25 11:16:30 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x19b0 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 12544 2022-04-25 11:16:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:16:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:16:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:16:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:16:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:16:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 11:16:51 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-25 11:16:51 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 11:17:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:17:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:17:03 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:03 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:03 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:03 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:03 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:03 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:17:04 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12292 2022-04-25 11:17:41 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 7276 进程创建时间: 2022-04-25T03:16:44.6813752Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 11:17:42 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:17:42 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 7276 进程创建时间: 2022-04-25T03:16:44.6813752Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 11:17:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:17:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:17:48 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5c8 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12290 2022-04-25 11:18:04 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:18:04 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 7276 进程创建时间: 2022-04-25T03:16:44.6813752Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:18:04 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 7276 进程创建时间: 2022-04-25T03:16:44.6813752Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 11:18:30 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 11:18:30 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:18:30 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:18:30 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:18:30 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:18:30 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 11:19:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:19:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:19:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:19:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:19:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:19:52 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x22fc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 11:19:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x22fc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 11:19:58 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x22fc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 11:20:15 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x904 进程名称: C:\Windows\System32\CompatTelRunner.exe 安全性 Audit Success 13824 2022-04-25 11:20:19 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8759f 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1f5c 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\2345PinyinUpdate.exe 安全性 Audit Success 13826 2022-04-25 11:21:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xe04 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-25 11:21:00 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xe04 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-25 11:21:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:21:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:07 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-25 11:25:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:25:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 11:25:08 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:08 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:08 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 11:25:08 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-25 11:25:25 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2481 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:25:25 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1160 进程创建时间: 2022-04-25T03:24:43.0508073Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.yourphone_8wekyb3d8bbwe\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_56e65e4d721c85cb2cd330f66a1cf856 操作: %%2459 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:25:25 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1160 进程创建时间: 2022-04-25T03:24:43.0508073Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-25 11:26:52 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8759f 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x11f0 进程名称: C:\Users\Administrator\AppData\Roaming\SoftMgr_2345\2345SoftMgr.exe 安全性 Audit Success 13824 2022-04-25 11:27:10 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x8759f 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5cc 进程名称: C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 安全性 Audit Success 12290 2022-04-25 11:27:49 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:27:49 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 11:27:49 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 11:30:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:30:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:30:18 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:30:18 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 11:34:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1e0c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 11:40:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:40:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 11:46:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 11:46:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 11:57:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2968 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13824 2022-04-25 12:12:32 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1530 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-25 13:38:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 13:38:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 13:38:39 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x584 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 13:38:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa5a12c 链接的登录 ID: 0xa5a167 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 13:38:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa5a167 链接的登录 ID: 0xa5a12c 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-25 13:38:39 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa5a167 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-25 13:38:39 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa5a12c 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-25 13:38:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xa5a12c 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 13:38:44 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2cc4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-25 13:41:34 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 13:41:34 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 13:42:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-25 13:42:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2dac 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 13:43:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 13:43:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 13:54:44 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2410 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 14:02:11 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:02:11 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 14:02:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:02:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 14:02:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2aa0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:14 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:16 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:16 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-25 14:02:17 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-25 14:02:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:02:28 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-25 14:02:43 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 14:02:43 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 9804 进程创建时间: 2022-04-25T06:02:43.2233093Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 14:02:43 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 9804 进程创建时间: 2022-04-25T06:02:43.2233093Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 14:02:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:02:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 14:04:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:04:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 14:12:32 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xd8 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x584 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xc6475f 链接的登录 ID: 0xc647ad 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xc647ad 链接的登录 ID: 0xc6475f 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xc647ad 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xc6475f 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 14:23:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xc6475f 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 14:23:05 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2c7c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-25 14:25:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:25:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 14:33:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-25 14:37:25 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xe04 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-25 14:41:28 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1f1c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 14:51:27 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 14:51:27 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 14:53:17 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1f08 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 14:53:17 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1f08 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 14:53:18 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1f08 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 14:57:26 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2958 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-25 15:21:21 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 15:21:21 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 15:21:29 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x584 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 15:21:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xdb1b8d 链接的登录 ID: 0xdb1bc7 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 15:21:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xdb1bc7 链接的登录 ID: 0xdb1b8d 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-25 15:21:29 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xdb1bc7 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-25 15:21:29 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xdb1b8d 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-25 15:21:29 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xdb1b8d 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 15:21:32 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2d68 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-25 15:23:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 15:23:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 15:27:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 15:31:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 15:31:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 15:34:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x244 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 15:34:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-25 15:34:16 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 15:34:16 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 15:34:16 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 15:34:17 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 15:34:17 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 15:34:17 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 15:34:17 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 15:34:17 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 15:34:17 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 进程信息: 进程 ID: 1100 进程创建时间: 2022-04-25T03:18:26.0371934Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12545 2022-04-25 15:34:22 Microsoft-Windows-Security-Auditing 4647: 用户启动的注销: 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x875f6 启动注销时,将生成此事件。以后不会再发生用户启动的活动。此事件可以解释为注销事件。 安全性 Audit Success 13824 2022-04-25 15:34:24 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-25 15:34:24 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-25 15:34:24 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-25 15:34:24 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x584 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 103 2022-04-25 15:34:25 Microsoft-Windows-Eventlog 1100: 事件日志服务已关闭。 安全性 Audit Success 13312 2022-04-25 17:36:17 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:17 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-25 17:36:17 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x174 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-25 17:36:17 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-25 17:36:38 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x220 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x174 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:44 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x174 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:44 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x268 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x260 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:45 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x394 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x174 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:45 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x39c 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x260 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:45 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3ac 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x394 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:46 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3fc 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x394 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:46 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x234 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰昳c????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3fc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:46 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x240 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?捦?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3fc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-25 17:36:49 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-25 17:36:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 13312 2022-04-25 17:36:49 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2bc 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-25 17:36:49 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2c4 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?挹?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x39c 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x10d66 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x39c 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3fc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10e26 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3fc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 13568 2022-04-25 17:36:50 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x10875 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3fc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1ac99 链接的登录 ID: 0x1acc9 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3fc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1acc9 链接的登录 ID: 0x1ac99 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3fc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x1ac99 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x1acc9 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:36:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:37:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:37:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:03 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:37:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa9c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-25 17:37:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa9c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 17:37:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:07 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:37:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:37:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:37:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:37:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:37:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xc48 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-25 17:37:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xc48 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 17:37:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x4e5dc 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:37:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-25 17:37:22 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 13824 2022-04-25 17:37:28 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x4ac 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-25 17:37:33 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x14d0 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-25 17:37:37 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x74c 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 17:37:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d5f3 链接的登录 ID: 0x7d633 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:37:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 链接的登录 ID: 0x7d5f3 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d5f3 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:37:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:37:38 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x6b4 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-25 17:37:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:37:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-25 17:37:40 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:37:40 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 5816 进程创建时间: 2022-04-25T09:37:38.2368551Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:37:40 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 5816 进程创建时间: 2022-04-25T09:37:38.2368551Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-25 17:37:41 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:37:41 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 5528 进程创建时间: 2022-04-25T09:37:40.6832355Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:37:41 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 5528 进程创建时间: 2022-04-25T09:37:40.6832355Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 17:38:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:38:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 17:38:25 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1834 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 13824 2022-04-25 17:38:29 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1630 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12290 2022-04-25 17:38:55 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:38:55 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 6752 进程创建时间: 2022-04-25T09:38:12.5838908Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:38:55 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 6752 进程创建时间: 2022-04-25T09:38:12.5838908Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 17:39:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:39:03 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:39:10 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcfc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-25 17:39:10 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcfc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 17:39:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:39:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:39:33 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:39:33 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:39:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:39:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:39:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:39:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:39:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:39:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 17:40:11 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1630 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-25 17:40:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:40:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 17:42:11 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xadc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 17:42:12 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xadc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 17:42:13 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xadc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13826 2022-04-25 17:42:25 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xb10 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12290 2022-04-25 17:42:39 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:42:39 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 2644 进程创建时间: 2022-04-25T09:42:38.4079229Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 17:42:39 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 2644 进程创建时间: 2022-04-25T09:42:38.4079229Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 17:42:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:42:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:42:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:42:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:43:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcf0 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-25 17:43:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcf0 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13824 2022-04-25 17:48:23 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d5f3 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0xbc0 进程名称: C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 安全性 Audit Success 12544 2022-04-25 17:49:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:49:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:52:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 17:52:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:52:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 17:52:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:52:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:52:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:52:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:52:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:52:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:52:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 17:56:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 17:56:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 17:57:11 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2758 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 18:00:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 18:00:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 18:04:17 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2524 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13824 2022-04-25 18:19:19 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1778 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-25 18:37:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 18:37:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 18:37:47 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x74c 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 18:37:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4bc49a 链接的登录 ID: 0x4bc4d5 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 18:37:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4bc4d5 链接的登录 ID: 0x4bc49a 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-25 18:37:47 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4bc4d5 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-25 18:37:47 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4bc49a 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-25 18:37:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x4bc49a 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 18:37:50 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2a50 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-25 18:43:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 18:43:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 18:46:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 18:46:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 18:47:31 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcfc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13824 2022-04-25 18:55:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x990 进程名称: C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 安全性 Audit Success 13826 2022-04-25 18:57:32 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1410 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 19:04:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:04:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:04:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:04:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:07:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:07:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:07:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:07:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-25 19:07:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:10:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:10:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-25 19:10:54 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 19:10:54 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 3636 进程创建时间: 2022-04-25T09:38:35.0261698Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.yourphone_8wekyb3d8bbwe\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_56e65e4d721c85cb2cd330f66a1cf856 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-25 19:10:54 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 进程信息: 进程 ID: 3636 进程创建时间: 2022-04-25T09:38:35.0261698Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-25 19:25:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:25:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:28:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:28:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:29:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:29:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:34:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:34:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:34:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:34:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:37:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:37:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:37:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:37:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 19:42:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 19:42:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 19:45:31 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x844 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13824 2022-04-25 19:57:31 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x980 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 19:57:32 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x980 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 19:57:32 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x980 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-25 20:01:38 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1f78 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 13826 2022-04-25 20:01:39 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcf0 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-25 20:50:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 20:50:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 20:50:57 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x74c 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-25 20:50:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xaf5103 链接的登录 ID: 0xaf5199 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-25 20:50:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xaf5199 链接的登录 ID: 0xaf5103 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-25 20:50:57 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xaf5199 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-25 20:50:57 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xaf5103 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-25 20:50:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xaf5103 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-25 20:51:00 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2bd0 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-25 20:51:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 20:51:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 20:56:39 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xcfc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 20:59:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 20:59:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 21:01:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:01:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 21:05:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:05:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 21:09:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:09:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 21:09:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:09:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 21:10:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:10:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-25 21:15:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:15:30 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-25 21:26:40 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2738 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12544 2022-04-25 21:31:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2bc 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-25 21:31:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12545 2022-04-25 21:31:45 Microsoft-Windows-Security-Auditing 4647: 用户启动的注销: 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d633 启动注销时,将生成此事件。以后不会再发生用户启动的活动。此事件可以解释为注销事件。 安全性 Audit Success 13824 2022-04-25 21:31:46 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-25 21:31:46 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-25 21:31:46 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-25 21:31:46 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x74c 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 103 2022-04-25 21:31:47 Microsoft-Windows-Eventlog 1100: 事件日志服务已关闭。 安全性 Audit Success 13312 2022-04-26 23:19:48 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:19:48 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-26 23:19:48 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x178 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-26 23:19:48 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-26 23:20:08 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x218 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x178 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:12 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x178 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:12 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x268 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x260 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:13 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x394 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x178 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:13 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x39c 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x260 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:13 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3ac 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x394 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:14 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3fc 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x394 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:14 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x234 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰昳c????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3fc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:14 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x240 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?捦?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3fc 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:18 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2b8 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-26 23:20:18 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2c0 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?挹?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x39c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x39c 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x10bdc 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x39c 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3fc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10cac 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3fc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3fc 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x19657 链接的登录 ID: 0x196a5 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3fc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x196a5 链接的登录 ID: 0x19657 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3fc 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x19657 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x196a5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 13568 2022-04-26 23:20:19 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x10754 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-26 23:20:21 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:21 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-26 23:20:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-26 23:20:26 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa54 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-26 23:20:26 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa54 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-26 23:20:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:29 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-26 23:20:33 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:33 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:33 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:33 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-26 23:20:34 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:34 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:34 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:34 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-26 23:20:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1184 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-26 23:20:36 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1184 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-26 23:20:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x594d0 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-26 23:20:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-26 23:20:40 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 13824 2022-04-26 23:20:42 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x460 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-26 23:20:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2b8 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-26 23:20:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-26 23:20:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-26 23:20:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13312 2022-04-27 13:42:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:42:51 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-27 13:42:51 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x174 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-27 13:42:51 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1843 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-27 13:43:17 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x228 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x174 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:24 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x174 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:24 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x268 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x260 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:25 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x344 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x174 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:25 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x34c 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x260 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:25 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x35c 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x344 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:25 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3ac 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x344 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:26 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3e0 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰愳c????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3ac 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:26 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3e8 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?捡?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3ac 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-27 13:43:29 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-27 13:43:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 13312 2022-04-27 13:43:29 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x228 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x34c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-27 13:43:29 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x24c 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?挴?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x34c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x34c 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x10a3e 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x34c 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3ac 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x10ab4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3ac 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 13568 2022-04-27 13:43:30 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x105c7 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3ac 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x19440 链接的登录 ID: 0x19473 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3ac 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x19473 链接的登录 ID: 0x19440 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3ac 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x19440 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x19473 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 101 2022-04-27 13:43:36 Microsoft-Windows-Eventlog 1101: 该传输已丢弃这些审核事件。0 安全性 Audit Success 12544 2022-04-27 13:43:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-27 13:43:38 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa28 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-27 13:43:38 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa28 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-27 13:43:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12292 2022-04-27 13:43:44 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-27 13:43:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:43:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:43:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-27 13:43:46 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x10cc 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-27 13:43:46 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x10cc 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12292 2022-04-27 13:43:47 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 12544 2022-04-27 13:43:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x66019 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 13824 2022-04-27 13:43:49 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x468 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-27 13:43:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:43:58 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x168c 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-27 13:44:07 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x5c0 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-27 13:44:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 链接的登录 ID: 0x7d9fb 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:44:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 链接的登录 ID: 0x7d9bb 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:44:07 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:44:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:44:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-27 13:44:08 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x548 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-27 13:44:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:44:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-27 13:44:14 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-27 13:44:14 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:44:14 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 6136 进程创建时间: 2022-04-27T05:44:08.6702678Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:44:14 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 6136 进程创建时间: 2022-04-27T05:44:08.6702678Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:44:14 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 3004 进程创建时间: 2022-04-27T05:44:14.2482311Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:44:14 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 3004 进程创建时间: 2022-04-27T05:44:14.2482311Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-27 13:45:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1520 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 13824 2022-04-27 13:45:04 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1940 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-27 13:45:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:45:29 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:45:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:45:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:45:34 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:34 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:34 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:34 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:34 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:34 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13826 2022-04-27 13:45:41 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-27 13:45:42 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12290 2022-04-27 13:45:45 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: RSA 密钥名称: bee30f21-7099-6e04-f3c8-36526d159f38 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:45:45 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 进程信息: 进程 ID: 5400 进程创建时间: 2022-04-27T05:45:31.7689540Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: bee30f21-7099-6e04-f3c8-36526d159f38 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\ProgramData\Microsoft\Crypto\SystemKeys\ed3ebdc4ca39a6c7133ea7a0dc0f69e6_74cb852e-622f-4750-a3e5-6c759e1631e1 操作: %%2458 返回代码: 0x0 安全性 Audit Success 13824 2022-04-27 13:45:45 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8099 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:45 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:45 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:47 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-27 13:45:48 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:45:48 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 3472 进程创建时间: 2022-04-27T05:45:10.3754036Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:45:48 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 3472 进程创建时间: 2022-04-27T05:45:10.3754036Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-27 13:45:49 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: RSA 密钥名称: bee30f21-7099-6e04-f3c8-36526d159f38 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:45:49 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 进程信息: 进程 ID: 5400 进程创建时间: 2022-04-27T05:45:31.7689540Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: bee30f21-7099-6e04-f3c8-36526d159f38 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\ProgramData\Microsoft\Crypto\SystemKeys\ed3ebdc4ca39a6c7133ea7a0dc0f69e6_74cb852e-622f-4750-a3e5-6c759e1631e1 操作: %%2458 返回代码: 0x0 安全性 Audit Success 13824 2022-04-27 13:45:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8099 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:45:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-27 13:45:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:45:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-27 13:45:58 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:45:58 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 3472 进程创建时间: 2022-04-27T05:45:10.3754036Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:45:58 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 3472 进程创建时间: 2022-04-27T05:45:10.3754036Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-27 13:46:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:46:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:46:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:46:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:46:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:46:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12290 2022-04-27 13:46:16 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-27 13:46:16 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:46:16 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:46:16 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:46:16 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:46:16 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-27 13:46:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:46:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:46:29 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1940 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-27 13:46:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:46:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:46:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:46:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:46:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:46:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:47:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:47:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:47:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:47:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:47:49 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:47:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:47:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:47:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:47:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-27 13:48:30 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:48:30 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:48:30 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-27 13:48:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:48:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:48:42 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2068 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-27 13:48:43 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2068 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-27 13:48:44 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2068 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345MiniPage.exe 安全性 Audit Success 13824 2022-04-27 13:48:56 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1f20 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-27 13:48:57 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1f20 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12290 2022-04-27 13:49:09 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:49:09 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 9028 进程创建时间: 2022-04-27T05:49:08.9860376Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:49:09 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 9028 进程创建时间: 2022-04-27T05:49:08.9860376Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-27 13:49:11 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1860 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\2345PinyinUpdate.exe 安全性 Audit Success 13824 2022-04-27 13:49:20 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:20 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:20 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:21 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:21 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:21 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:21 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-27 13:49:25 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:49:25 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 5160 进程创建时间: 2022-04-27T05:45:07.0338681Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.yourphone_8wekyb3d8bbwe\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_56e65e4d721c85cb2cd330f66a1cf856 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 13:49:25 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 5160 进程创建时间: 2022-04-27T05:45:07.0338681Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-27 13:49:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:49:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:49:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:49:42 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13826 2022-04-27 13:49:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd5c 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-27 13:49:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd5c 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-27 13:49:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:49:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:50:08 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x20c0 进程名称: C:\Windows\System32\CompatTelRunner.exe 安全性 Audit Success 13824 2022-04-27 13:51:19 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x4dc 进程名称: C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 安全性 Audit Success 13824 2022-04-27 13:51:31 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:51:31 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:51:31 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-27 13:51:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:51:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:51:32 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:51:32 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:51:32 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:51:32 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:55:42 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2714 进程名称: C:\Users\Administrator\AppData\Roaming\SoftMgr_2345\2345SoftMgr.exe 安全性 Audit Success 12544 2022-04-27 13:58:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:58:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13826 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:58:14 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13826 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-27 13:58:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1d08 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13824 2022-04-27 13:58:16 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:16 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:16 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-27 13:58:16 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13826 2022-04-27 13:59:08 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x16a4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 13826 2022-04-27 14:03:42 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x27e4 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12290 2022-04-27 14:04:41 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 14:04:41 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 10100 进程创建时间: 2022-04-27T06:04:40.6259259Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 14:04:41 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 10100 进程创建时间: 2022-04-27T06:04:40.6259259Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-27 14:10:18 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:10:18 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 14:10:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:10:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12544 2022-04-27 14:15:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 14:15:31 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:15:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 14:15:31 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 13824 2022-04-27 14:17:55 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x27a8 进程名称: D:\360安全浏览器下载\setupbeta.exe 安全性 Audit Success 13824 2022-04-27 14:18:56 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: DefaultAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-27 14:18:56 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: Guest 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-27 14:18:56 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: WDAGUtilityAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 12290 2022-04-27 14:20:00 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 14:20:00 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 14:20:00 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 2068 进程创建时间: 2022-04-27T05:46:13.2262718Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12545 子类别 GUID: {0cce9216-69ae-11d9-bed3-505054503030} 更改: %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12546 子类别 GUID: {0cce9217-69ae-11d9-bed3-505054503030} 更改: %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12547 子类别 GUID: {0cce9218-69ae-11d9-bed3-505054503030} 更改: %%8449, %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12548 子类别 GUID: {0cce921b-69ae-11d9-bed3-505054503030} 更改: %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12549 子类别 GUID: {0cce9219-69ae-11d9-bed3-505054503030} 更改: %%8449, %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12550 子类别 GUID: {0cce921a-69ae-11d9-bed3-505054503030} 更改: %%8449, %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12551 子类别 GUID: {0cce921c-69ae-11d9-bed3-505054503030} 更改: %%8449, %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12553 子类别 GUID: {0cce9247-69ae-11d9-bed3-505054503030} 更改: %%8449, %%8451 安全性 Audit Success 13568 2022-04-27 14:20:03 Microsoft-Windows-Security-Auditing 4719: 已更改系统审核策略。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9bb 审核策略更改: 类别: %%8273 子类别: %%12554 子类别 GUID: {0cce9249-69ae-11d9-bed3-505054503030} 更改: %%8449, %%8451 安全性 Audit Success 12544 2022-04-27 14:20:18 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:20:18 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 14:20:18 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 14:22:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:22:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 14:22:16 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-27 14:22:22 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x12c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-27 14:22:22 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x12c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-27 14:27:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:27:03 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 14:27:03 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-27 14:45:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12551 2022-04-27 14:49:52 Microsoft-Windows-Security-Auditing 4800: 已锁定工作站。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 会话 ID: 1 安全性 Audit Success 13824 2022-04-27 14:49:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1ba4 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x5c0 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x9086a2 链接的登录 ID: 0x90873a 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x90873a 链接的登录 ID: 0x9086a2 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x9086a2 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x9086a2 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-12288} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-27 15:04:28 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x90873a 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-8192} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12545 2022-04-27 15:04:29 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x90873a 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-27 15:04:29 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x9086a2 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12551 2022-04-27 15:04:29 Microsoft-Windows-Security-Auditing 4801: 已解除工作站锁定。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 会话 ID: 1 安全性 Audit Success 13824 2022-04-27 15:04:34 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2b1c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-27 15:05:14 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:05:14 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:05:14 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:12:30 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:12:30 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:12:30 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:12:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:12:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:12:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-27 15:14:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd5c 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-27 15:15:29 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:15:29 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:15:29 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:24:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:24:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:24:00 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:44:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 15:44:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:44:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 15:44:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:44:09 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-27 15:44:09 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:48:47 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:48:47 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:48:47 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:52:39 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:52:39 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:52:39 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 15:54:08 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 15:54:08 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 15:54:08 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12551 2022-04-27 16:18:52 Microsoft-Windows-Security-Auditing 4800: 已锁定工作站。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 会话 ID: 1 安全性 Audit Success 13824 2022-04-27 16:18:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x20b4 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-27 19:18:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 19:18:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 19:18:55 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-27 19:19:03 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2c7c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Helper_2345Explorer.exe 安全性 Audit Success 12290 2022-04-27 19:19:08 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 19:19:08 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 5160 进程创建时间: 2022-04-27T05:45:07.0338681Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.yourphone_8wekyb3d8bbwe\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_56e65e4d721c85cb2cd330f66a1cf856 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 19:19:08 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 5160 进程创建时间: 2022-04-27T05:45:07.0338681Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-27 19:19:10 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 19:19:10 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 216 进程创建时间: 2022-04-27T11:19:01.8643886Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-27 19:19:10 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 进程信息: 进程 ID: 216 进程创建时间: 2022-04-27T11:19:01.8643886Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x5c0 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe8261d 链接的登录 ID: 0xe82678 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe82678 链接的登录 ID: 0xe8261d 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe82678 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe8261d 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe8261d 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12551 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4801: 已解除工作站锁定。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 会话 ID: 1 安全性 Audit Success 12554 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe8261d 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-12288} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-27 20:27:49 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xe82678 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-8192} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-27 20:27:53 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x24fc 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 13826 2022-04-27 20:31:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd5c 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-27 20:55:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 20:55:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 20:55:24 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 20:56:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 20:56:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 20:56:22 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-27 20:56:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 21:04:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:04:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:04:22 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-27 21:06:45 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd64 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-27 21:09:37 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:09:37 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:09:37 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 21:09:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:09:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:09:55 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-27 21:15:30 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1520 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 13824 2022-04-27 21:15:30 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2834 进程名称: C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 安全性 Audit Success 13824 2022-04-27 21:19:05 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x24c0 进程名称: C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 安全性 Audit Success 13824 2022-04-27 21:21:50 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2a68 进程名称: C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 安全性 Audit Success 12544 2022-04-27 21:22:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:22:03 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:22:03 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 21:31:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:31:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:31:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 21:31:09 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:31:09 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:31:09 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 21:31:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:31:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:31:58 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-27 21:38:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x228 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-27 21:38:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-27 21:38:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-27 21:38:51 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xd5c 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12545 2022-04-27 21:46:32 Microsoft-Windows-Security-Auditing 4647: 用户启动的注销: 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x7d9fb 启动注销时,将生成此事件。以后不会再发生用户启动的活动。此事件可以解释为注销事件。 安全性 Audit Success 13824 2022-04-27 21:46:35 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-27 21:46:35 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-27 21:46:35 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13824 2022-04-27 21:46:35 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x5c0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 103 2022-04-27 21:46:37 Microsoft-Windows-Eventlog 1100: 事件日志服务已关闭。 安全性 Audit Success 13312 2022-04-28 14:26:18 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:18 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-28 14:26:18 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x194 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-28 14:26:18 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1842 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-28 14:26:38 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x248 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x194 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:45 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x27c 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x194 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:45 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x284 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ?挷?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x27c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:54 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x374 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x194 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:54 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x37c 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ?挷?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x27c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:54 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x38c 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x374 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:54 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3e4 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x374 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:55 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x22c 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰攳4????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3e4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:26:56 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x204 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3e4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-28 14:27:00 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-28 14:27:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 13312 2022-04-28 14:27:00 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2ec 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x37c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 14:27:00 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2f0 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?挷?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x37c 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12554 2022-04-28 14:27:01 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x0 登录类型: 0 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13568 2022-04-28 14:27:01 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x13a1c 安全性 Audit Success 12544 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x37c 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x14402 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x37c 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3e4 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x14515 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3e4 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x14402 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-5-11} %{S-1-5-15} %{S-1-5-96-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x14515 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-96-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:03 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:04 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-6} %{S-1-5-11} %{S-1-5-15} %{S-1-5-80-521322694-906040134-3864710659-1525148216-3451224162} %{S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080} %{S-1-2-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:04 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3e4 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x2021a 链接的登录 ID: 0x20263 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3e4 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x20263 链接的登录 ID: 0x2021a 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3e4 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x2021a 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x20263 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x2021a 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-19} %{S-1-2-0} %{S-1-5-90-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x20263 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-19} %{S-1-2-0} %{S-1-5-90-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-6} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-80-3316959809-2577409367-488518535-1805171532-1438653141} %{S-1-2-0} %{S-1-5-32-1488445330-856673777-1515413738-1380768593-2977925950-2228326386-886087428-2802422674} %{S-1-5-32-383293015-3350740429-1839969850-1819881064-1569454686-4198502490-78857879-1413643331} %{S-1-5-32-2035927579-283314533-3422103930-3587774809-765962649-3034203285-3544878962-607181067} %{S-1-5-32-3659434007-2290108278-1125199667-3679670526-1293081662-2164323352-1777701501-2595986263} %{S-1-5-32-11742800-2107441976-3443185924-4134956905-3840447964-3749968454-3843513199-670971053} %{S-1-5-32-3523901360-1745872541-794127107-675934034-1867954868-1951917511-1111796624-2052600462} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:06 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:06 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:06 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:06 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:06 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:06 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:10 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:10 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:10 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:12 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-28 14:27:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xb30 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-28 14:27:13 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xb30 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-28 14:27:18 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:18 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:18 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:19 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:20 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:20 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:23 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 14:27:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12292 2022-04-28 14:27:32 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-28 14:27:33 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:33 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:33 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:34 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:34 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:34 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 14:27:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:35 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-28 14:27:35 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1280 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-28 14:27:35 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1280 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-28 14:27:36 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:36 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:36 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12292 2022-04-28 14:27:37 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 12544 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x877cd 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录类型: 3 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x877cd 事件顺序: 1/1 组成员身份: %{S-1-0-0} %{S-1-5-2} %{S-1-5-15} %{S-1-5-64-10} %{S-1-16-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:38 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:48 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:52 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:53 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-28 14:27:53 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-28 14:27:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2ec 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 14:27:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 14:27:58 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-28 14:28:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x488 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 13312 2022-04-28 23:25:22 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:22 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-28 23:25:22 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x19c 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-28 23:25:22 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1842 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-28 23:25:37 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x254 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ?挹?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x19c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:44 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x288 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x19c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:45 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x290 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x288 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:46 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x38c 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x19c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:46 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x394 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x288 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:46 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x39c 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ?挸?匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x38c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:47 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3f4 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰?c????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x38c 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:48 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x274 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰昳4????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3f4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:48 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3f4 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x394 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x140e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x394 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3f4 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x141ab 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3f4 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x0 登录类型: 0 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x140e4 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-5-11} %{S-1-5-15} %{S-1-5-96-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x141ab 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-96-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-6} %{S-1-5-11} %{S-1-5-15} %{S-1-5-80-521322694-906040134-3864710659-1525148216-3451224162} %{S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080} %{S-1-2-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13312 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x2f4 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰?4????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x394 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x300 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x394 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13568 2022-04-28 23:25:52 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x11ba2 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3f4 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1eb68 链接的登录 ID: 0x1ebba 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3f4 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1ebba 链接的登录 ID: 0x1eb68 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3f4 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x1eb68 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x1ebba 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1eb68 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-19} %{S-1-2-0} %{S-1-5-90-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1ebba 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-19} %{S-1-2-0} %{S-1-5-90-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-6} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-80-1021139062-1866602279-1255292388-1008060685-2498416891} %{S-1-5-80-2970612574-78537857-698502321-558674196-1451644582} %{S-1-5-80-639065985-1709096039-2702309040-2770678766-2981280942} %{S-1-5-80-2661322625-712705077-2999183737-3043590567-590698655} %{S-1-2-0} %{S-1-5-33} %{S-1-5-32-1488445330-856673777-1515413738-1380768593-2977925950-2228326386-886087428-2802422674} %{S-1-5-32-383293015-3350740429-1839969850-1819881064-1569454686-4198502490-78857879-1413643331} %{S-1-5-32-2035927579-283314533-3422103930-3587774809-765962649-3034203285-3544878962-607181067} %{S-1-5-32-3659434007-2290108278-1125199667-3679670526-1293081662-2164323352-1777701501-2595986263} %{S-1-5-32-11742800-2107441976-3443185924-4134956905-3840447964-3749968454-3843513199-670971053} %{S-1-5-32-3523901360-1745872541-794127107-675934034-1867954868-1951917511-1111796624-2052600462} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:53 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x920 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-28 23:25:55 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x920 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 101 2022-04-28 23:25:57 Microsoft-Windows-Eventlog 1101: 该传输已丢弃这些审核事件。0 安全性 Audit Success 12544 2022-04-28 23:25:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:25:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:25:57 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:57 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:25:59 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 23:26:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-28 23:26:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:26:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-28 23:26:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:26:00 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-28 23:26:00 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 23:26:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:26:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:26:02 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-28 23:26:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x494 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12292 2022-04-28 23:26:04 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-28 23:26:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:26:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:26:04 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-28 23:26:04 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1288 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-28 23:26:04 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1288 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-28 23:26:06 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-28 23:26:06 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-28 23:26:06 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12292 2022-04-28 23:26:07 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 12544 2022-04-28 23:26:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x8cad2 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12554 2022-04-28 23:26:07 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录类型: 3 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x8cad2 事件顺序: 1/1 组成员身份: %{S-1-0-0} %{S-1-5-2} %{S-1-5-15} %{S-1-5-64-10} %{S-1-16-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-28 23:26:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x2f4 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12554 2022-04-28 23:26:15 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13312 2022-04-29 13:06:07 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x64 新进程名称: 敒楧瑳祲─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:07 Microsoft-Windows-Security-Auditing 4696: 已为进程分配主令牌。 使用者: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 进程信息: 进程 ID: 0x4 进程名: ? 目标进程: 目标进程 ID: 0x64 目标进程名: Registry 新令牌信息: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x3e7 安全性 Audit Success 13312 2022-04-29 13:06:07 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x198 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰4????0--砰0??????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x4 创建者进程名称: ??????? 进程命令行: ????0--砰0??????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13573 2022-04-29 13:06:07 Microsoft-Windows-Security-Auditing 4826: 已加载引导配置数据。 使用者: 安全性 ID: S-1-5-18 帐户名称: - 帐户域: - 登录 ID: 0x3e7 常规设置: 加载选项: - 高级选项: %%1843 配置访问策略: %%1846 系统事件日志记录: %%1843 内核调试: %%1843 VSM 启动类型: %%1848 签名设置: 测试签名: %%1843 检测签名: %%1842 禁用完整性检查: %%1843 虚拟机监控程序设置: 虚拟机监控程序加载选项: - 虚拟机监控程序启动类型: %%1848 虚拟机监控程序调试: %%1843 安全性 Audit Success 13312 2022-04-29 13:06:26 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x24c 新进程名称: ?坜湩潤獷卜獹整?尲畡潴档?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x198 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x280 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x198 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:33 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x288 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x280 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3a4 新进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數─ㄥ?6砰?8????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x198 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3ac 新进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x280 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:35 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x3bc 新进程名称: ?坜湩潤獷卜獹整?尲獣獲?硥e┥?? ???匀????? へ?尺楗摮睯屳祓瑳浥社獜獭?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3a4 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:36 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x1a0 新进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數─ㄥ?6砰愳4????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3a4 创建者进程名称: ?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲浳獳攮數匀?????4? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:36 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x260 新进程名称: ?坜湩潤獷卜獹整?尲潢瑯浩攮數─ㄥ?6砰愱0????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x1a0 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:37 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x214 新进程名称: ?坜湩潤獷卜獹整?尲潦瑮牤桶獯?硥e┥?? ?ち?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩潬潧?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x1a0 创建者进程名称: ?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷汮杯湯攮數匀?????4 “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 12288 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4608: Windows 正在启动。 当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 0 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: - 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x4 进程名称: ? 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: - 身份验证数据包: - 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-0 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x3ac 进程名: C:\Windows\System32\wininit.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x141d5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x3ac 进程名称: C:\Windows\System32\wininit.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: UMFD-1 帐户域: Font Driver Host 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x1a0 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x141f7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x1a0 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x0 登录类型: 0 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-96-0-0 帐户名称: UMFD-0 帐户域: Font Driver Host 登录 ID: 0x141d5 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-5-11} %{S-1-5-15} %{S-1-5-96-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-96-0-1 帐户名称: UMFD-1 帐户域: Font Driver Host 登录 ID: 0x141f7 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-96-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13312 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x308 新进程名称: ?坜湩潤獷卜獹整?尲敳癲捩獥攮數─ㄥ?6砰愳c????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3ac 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13312 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4688: 已创建新进程。 创建者主题: 安全 ID: S-1-5-18 帐户名: - 帐户域: - 登录 ID: 0x3e7 目标主题: 安全 ID: S-1-0-0 帐户名: - 帐户域: - 登录 ID: 0x0 进程信息: 新进程 ID: 0x314 新进程名称: ?坜湩潤獷卜獹整?尲獬獡?硥e┥?? ?捡?匀????? へ?尺楗摮睯屳祓瑳浥社睜湩湩瑩攮數匀?????4? 令牌提升类型: %%1936 强制性标签: S-1-16-16384 创建者进程 ID: 0x3ac 创建者进程名称: ?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? 进程命令行: ????0--砰0?坜湩潤獷卜獹整?尲楷楮楮?硥e?????? “令牌提升类型”表示根据用户帐户控制策略分配给新进程的令牌类型。 类型 1 是未删除特权或未禁用组的完全令牌。完全令牌仅在禁用了用户帐户控制或者用户是内置管理员帐户或服务帐户的情况下使用。 类型 2 是未删除特权或未禁用组的提升令牌。当启用了用户帐户控制并且用户选择使用“以管理员身份运行”选项启动程序时,会使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。 类型 3 是删除了管理特权并禁用了管理组的受限令牌。当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”选项启动程序时,会使用受限令牌。 安全性 Audit Success 13568 2022-04-29 13:06:41 Microsoft-Windows-Security-Auditing 4902: 已创建每用户审核策略表。 元素的数量: 0 策略 ID: 0x13acb 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: DWM-1 帐户域: Window Manager 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x1a0 进程名: C:\Windows\System32\winlogon.exe 网络信息: 网络地址: - 端口: - 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1ea7b 链接的登录 ID: 0x1eada 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x1a0 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1842 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1eada 链接的登录 ID: 0x1ea7b 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x1a0 进程名称: C:\Windows\System32\winlogon.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-20 帐户名: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x1ea7b 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-90-0-1 帐户名: DWM-1 帐户域: Window Manager 登录 ID: 0x1eada 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-19 帐户名: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 特权: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-20 帐户名称: NETWORK SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e4 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-6} %{S-1-5-11} %{S-1-5-15} %{S-1-5-80-521322694-906040134-3864710659-1525148216-3451224162} %{S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080} %{S-1-2-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1ea7b 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-19} %{S-1-2-0} %{S-1-5-90-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-90-0-1 帐户名称: DWM-1 帐户域: Window Manager 登录 ID: 0x1eada 事件顺序: 1/1 组成员身份: %{S-1-16-8192} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-19} %{S-1-2-0} %{S-1-5-90-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 事件顺序: 1/1 组成员身份: %{S-1-16-16384} %{S-1-1-0} %{S-1-5-32-545} %{S-1-5-6} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-80-3316959809-2577409367-488518535-1805171532-1438653141} %{S-1-2-0} %{S-1-5-32-1488445330-856673777-1515413738-1380768593-2977925950-2228326386-886087428-2802422674} %{S-1-5-32-383293015-3350740429-1839969850-1819881064-1569454686-4198502490-78857879-1413643331} %{S-1-5-32-2035927579-283314533-3422103930-3587774809-765962649-3034203285-3544878962-607181067} %{S-1-5-32-3659434007-2290108278-1125199667-3679670526-1293081662-2164323352-1777701501-2595986263} %{S-1-5-32-11742800-2107441976-3443185924-4134956905-3840447964-3749968454-3843513199-670971053} %{S-1-5-32-3523901360-1745872541-794127107-675934034-1867954868-1951917511-1111796624-2052600462} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:42 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:43 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:06:44 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:44 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:44 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:06:44 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xa14 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-29 13:06:44 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0xa14 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 101 2022-04-29 13:06:45 Microsoft-Windows-Eventlog 1101: 该传输已丢弃这些审核事件。0 安全性 Audit Success 12544 2022-04-29 13:06:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:46 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:46 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:46 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:46 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:06:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:06:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:49 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:06:50 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:50 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:50 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:06:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:06:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:06:51 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:06:52 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x484 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12292 2022-04-29 13:06:59 Microsoft-Windows-Security-Auditing 5033: Windows 防火墙驱动程序已成功启动。 安全性 Audit Success 12544 2022-04-29 13:07:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:07:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录信息: 登录类型: 3 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x9dc8f 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x0 进程名称: - 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递的服务: - 数据包名(仅限 NTLM): NTLM V1 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:00 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:07:00 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-0-0 帐户名称: - 帐户域: - 登录 ID: 0x0 登录类型: 3 新登录: 安全 ID: S-1-5-7 帐户名称: ANONYMOUS LOGON 帐户域: NT AUTHORITY 登录 ID: 0x9dc8f 事件顺序: 1/1 组成员身份: %{S-1-0-0} %{S-1-5-2} %{S-1-5-15} %{S-1-5-64-10} %{S-1-16-0} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:07:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:01 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:07:01 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1268 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-29 13:07:01 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-20 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e4 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1268 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12292 2022-04-29 13:07:04 Microsoft-Windows-Security-Auditing 5024: Windows 防火墙服务已成功启动。 安全性 Audit Success 12544 2022-04-29 13:07:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:04 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:07:12 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:12 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:12 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:07:13 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x608 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 13:07:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 链接的登录 ID: 0xb69c9 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:07:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 链接的登录 ID: 0xb6916 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:13 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-12288} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:07:13 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-8192} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:07:15 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x550 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:07:16 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x17cc 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-29 13:07:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:20 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:07:21 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:21 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:21 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12290 2022-04-29 13:07:22 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:07:22 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6040 进程创建时间: 2022-04-29T05:07:20.2844617Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:07:22 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6040 进程创建时间: 2022-04-29T05:07:20.2844617Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 13:07:23 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:07:23 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 6448 进程创建时间: 2022-04-29T05:07:23.0147958Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_d9de8a40-87ad-49d1-b3ea-4647cf3f988a 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:07:23 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 进程信息: 进程 ID: 6448 进程创建时间: 2022-04-29T05:07:23.0147958Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: Microsoft Connected Devices Platform device certificate 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 13:07:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:07:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:07:45 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:08:07 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1b3c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 13826 2022-04-29 13:08:11 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1ad0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-29 13:08:11 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1ad0 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-29 13:08:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:08:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:08:35 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:08:56 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xda0 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 13826 2022-04-29 13:08:56 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xda0 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\Protect_2345Explorer.exe 安全性 Audit Success 12544 2022-04-29 13:09:05 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:09:05 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:09:05 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:09:07 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1574 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 13824 2022-04-29 13:09:23 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1de4 进程名称: C:\Windows\explorer.exe 安全性 Audit Success 12544 2022-04-29 13:09:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:09:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:09:26 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:09:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:09:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:09:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:09:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:09:32 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:09:32 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:09:35 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1494 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\2345Explorer.exe 安全性 Audit Success 12544 2022-04-29 13:09:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:09:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:09:45 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:10:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1b3c 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\Protect\2345ExplorerAssistant.exe 安全性 Audit Success 12544 2022-04-29 13:10:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:10:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:10:02 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:10:05 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x20ac 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\2345Explorer.exe 安全性 Audit Success 13826 2022-04-29 13:10:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1494 进程名称: C:\Program Files (x86)\2345Soft\2345Explorer\2345Explorer.exe 安全性 Audit Success 12544 2022-04-29 13:10:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:10:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:10:23 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:10:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:10:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:10:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:10:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:39 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:40 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:41 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:55 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:55 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:55 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:10:55 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12290 2022-04-29 13:11:01 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:01 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6456 进程创建时间: 2022-04-29T05:09:39.8472042Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:01 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6456 进程创建时间: 2022-04-29T05:09:39.8472042Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 13:11:14 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 13:11:14 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:14 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6456 进程创建时间: 2022-04-29T05:09:39.8472042Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:14 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6456 进程创建时间: 2022-04-29T05:09:39.8472042Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:14 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6456 进程创建时间: 2022-04-29T05:09:39.8472042Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:14 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 6456 进程创建时间: 2022-04-29T05:09:39.8472042Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 13:11:30 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:30 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7248 进程创建时间: 2022-04-29T05:11:27.7909371Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:30 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7248 进程创建时间: 2022-04-29T05:11:27.7909371Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 13:11:31 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:31 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7248 进程创建时间: 2022-04-29T05:11:27.7909371Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:11:31 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7248 进程创建时间: 2022-04-29T05:11:27.7909371Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 13:11:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:11:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:11:40 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12290 2022-04-29 13:12:24 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:12:24 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 1072 进程创建时间: 2022-04-29T05:12:21.7641349Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:12:24 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 1072 进程创建时间: 2022-04-29T05:12:21.7641349Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 13:12:28 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:12:28 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:12:28 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:12:46 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1afc 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\2345PinyinUpdate.exe 安全性 Audit Success 12290 2022-04-29 13:12:55 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:12:55 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7192 进程创建时间: 2022-04-29T05:09:15.4071050Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.yourphone_8wekyb3d8bbwe\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_56e65e4d721c85cb2cd330f66a1cf856 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 13:12:55 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7192 进程创建时间: 2022-04-29T05:09:15.4071050Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13826 2022-04-29 13:12:59 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xda8 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 13826 2022-04-29 13:12:59 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xda8 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-29 13:13:43 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:13:43 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:13:43 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x1508 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 13826 2022-04-29 13:13:48 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x1508 进程名称: C:\Windows\System32\svchost.exe 安全性 Audit Success 12544 2022-04-29 13:13:49 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:13:49 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:13:49 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:13:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:13:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:13:50 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:13:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:13:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:13:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:13:54 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:09 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:09 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:09 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:11 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:14:12 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:17:13 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1b14 进程名称: C:\Program Files (x86)\Tencent\QQPCMgr\13.10.21935.215\QQPCTray.exe 安全性 Audit Success 12544 2022-04-29 13:21:56 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:21:56 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:21:56 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:22:17 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:17 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:17 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:22:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 13:22:19 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 13:22:19 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:19 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 13:22:19 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 13826 2022-04-29 13:22:20 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x2580 进程名称: C:\Windows\System32\VSSVC.exe 安全性 Audit Success 12544 2022-04-29 13:22:21 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:21 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:21 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:23 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:24 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:24 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:24 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 13:22:24 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-19 帐户名称: LOCAL SERVICE 帐户域: NT AUTHORITY 登录 ID: 0x3e5 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-29 13:22:25 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:25 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:25 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:22:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:26 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:22:35 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:22:35 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:22:35 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 13:23:02 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x950 进程名称: C:\Users\Administrator\AppData\Roaming\SoftMgr_2345\2345SoftMgr.exe 安全性 Audit Success 12544 2022-04-29 13:35:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:35:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:35:51 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:36:51 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:36:51 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:36:51 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:38:45 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:38:45 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:38:45 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 13:49:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 13:49:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 13:49:15 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 14:04:55 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 14:04:55 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 14:04:55 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12290 2022-04-29 14:04:56 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 14:04:56 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 4452 进程创建时间: 2022-04-29T06:04:55.7897833Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 14:04:56 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 4452 进程创建时间: 2022-04-29T06:04:55.7897833Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 14:10:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 14:10:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 14:10:58 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 14:11:02 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 14:11:02 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 14:11:02 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12551 2022-04-29 14:17:38 Microsoft-Windows-Security-Auditing 4800: 已锁定工作站。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 会话 ID: 1 安全性 Audit Success 13824 2022-04-29 14:17:40 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2e9c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-29 17:17:40 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 17:17:40 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 17:17:40 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12290 2022-04-29 17:17:46 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 17:17:46 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7192 进程创建时间: 2022-04-29T05:09:15.4071050Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.yourphone_8wekyb3d8bbwe\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_56e65e4d721c85cb2cd330f66a1cf856 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 17:17:46 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 7192 进程创建时间: 2022-04-29T05:09:15.4071050Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 17:17:49 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 17:17:49 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 11740 进程创建时间: 2022-04-29T09:17:43.5418624Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 17:17:49 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 11740 进程创建时间: 2022-04-29T09:17:43.5418624Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-29 17:18:13 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2e9c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 13824 2022-04-29 18:29:03 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2e9c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 13824 2022-04-29 18:29:34 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2e9c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x608 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf9883e 链接的登录 ID: 0xf98896 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf98896 链接的登录 ID: 0xf9883e 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf98896 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf9883e 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf9883e 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12551 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4801: 已解除工作站锁定。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 会话 ID: 1 安全性 Audit Success 12554 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf9883e 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-12288} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 18:30:57 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xf98896 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-8192} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 18:31:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1b00 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Service\6.7.4.2587\2345PinyinAssistant.exe 安全性 Audit Success 12544 2022-04-29 18:31:34 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 18:31:34 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 18:31:34 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:35 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:36 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:36 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:36 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 13824 2022-04-29 18:31:36 Microsoft-Windows-Security-Auditing 5379: 已读取凭据管理器凭据。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 读取操作: %%8100 用户对存储在凭据管理器中的凭据执行读取操作时,此事件会发生。 安全性 Audit Success 12544 2022-04-29 18:32:26 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 18:32:26 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 18:32:26 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 18:39:57 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 18:39:57 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 18:39:57 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 18:39:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 18:39:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 18:39:58 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 18:39:59 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 18:39:59 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 18:39:59 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12551 2022-04-29 19:03:15 Microsoft-Windows-Security-Auditing 4800: 已锁定工作站。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 会话 ID: 1 安全性 Audit Success 13824 2022-04-29 19:03:17 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2d5c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-29 19:15:00 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 19:15:00 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 19:15:00 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x608 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x1119960 链接的登录 ID: 0x11199e2 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x11199e2 链接的登录 ID: 0x1119960 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x11199e2 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x1119960 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x1119960 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12551 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4801: 已解除工作站锁定。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 会话 ID: 1 安全性 Audit Success 12554 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x1119960 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-12288} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 19:15:07 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x11199e2 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-8192} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 19:15:10 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x23cc 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Service\6.7.4.2587\2345PinyinAssistant.exe 安全性 Audit Success 12290 2022-04-29 19:15:21 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 19:15:21 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 19:15:21 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 19:25:23 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 19:25:23 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 19:25:23 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 19:34:52 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xda8 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12551 2022-04-29 19:49:27 Microsoft-Windows-Security-Auditing 4800: 已锁定工作站。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 会话 ID: 1 安全性 Audit Success 13824 2022-04-29 19:49:28 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x1d6c 进程名称: C:\Windows\System32\LogonUI.exe 安全性 Audit Success 12544 2022-04-29 20:04:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:04:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:04:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4648: 试图使用显式凭据登录。 使用者: 安全 ID: S-1-5-18 帐户名: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录 GUID: {00000000-0000-0000-0000-000000000000} 使用了哪个帐户的凭据: 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 GUID: {00000000-0000-0000-0000-000000000000} 目标服务器: 目标服务器名: localhost 附加信息: localhost 进程信息: 进程 ID: 0x608 进程名: C:\Windows\System32\svchost.exe 网络信息: 网络地址: 127.0.0.1 端口: 0 在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。 安全性 Audit Success 12544 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8710 链接的登录 ID: 0x12d8784 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 2 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1843 模拟级别: %%1833 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8784 链接的登录 ID: 0x12d8710 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x608 进程名称: C:\Windows\System32\svchost.exe 网络信息: 工作站名称: XTT-20220421VKV 源网络地址: 127.0.0.1 源端口: 0 详细的身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12545 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8784 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12545 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4634: 已注销帐户。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8710 登录类型: 2 在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。 安全性 Audit Success 12548 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8710 特权: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12551 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4801: 已解除工作站锁定。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 会话 ID: 1 安全性 Audit Success 12554 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8710 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-12288} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 20:04:58 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 2 新登录: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0x12d8784 事件顺序: 1/1 组成员身份: %{S-1-5-21-2054020387-527707529-3471704410-513} %{S-1-1-0} %{S-1-5-114} %{S-1-5-32-544} %{S-1-5-32-545} %{S-1-5-4} %{S-1-2-1} %{S-1-5-11} %{S-1-5-15} %{S-1-5-113} %{S-1-2-0} %{S-1-5-64-10} %{S-1-16-8192} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 20:05:01 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x2608 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Service\6.7.4.2587\2345PinyinAssistant.exe 安全性 Audit Success 12290 2022-04-29 20:06:14 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:06:14 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 10048 进程创建时间: 2022-04-29T12:06:13.8676518Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:06:14 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 10048 进程创建时间: 2022-04-29T12:06:13.8676518Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 20:08:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:08:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:08:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13826 2022-04-29 20:10:11 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0xda8 进程名称: C:\Program Files (x86)\2345Soft\2345Pinyin\7.7.0.8279\Protect\Pinyin_2345Svc.exe 安全性 Audit Success 12544 2022-04-29 20:18:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:18:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:18:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12290 2022-04-29 20:18:43 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:18:43 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:18:43 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 20:18:45 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:18:45 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:18:45 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-29 20:19:59 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x4d0 进程名称: C:\Users\Administrator\AppData\Roaming\360se6\Application\360se.exe 安全性 Audit Success 12544 2022-04-29 20:28:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:28:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:28:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 20:38:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:38:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:38:22 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 20:51:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:51:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:51:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 20:56:24 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:56:24 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:56:24 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 20:57:04 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 20:57:04 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 20:57:04 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 20:57:50 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x3b8 进程名称: D:\360安全浏览器下载\ludashisetup2020.exe 安全性 Audit Success 12290 2022-04-29 20:58:31 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:58:31 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 20:58:31 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 21:04:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12544 2022-04-29 21:04:15 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 21:04:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12548 2022-04-29 21:04:15 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 21:04:15 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12554 2022-04-29 21:04:15 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 21:04:32 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 21:04:32 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 21:04:32 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 21:05:49 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x361c 进程名称: D:\Program Files\360Safe\Utils\360ScreenCapture.exe 安全性 Audit Success 12290 2022-04-29 21:19:48 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:19:48 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:19:48 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Failure 12290 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_footprintdns.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x80090016 安全性 Audit Failure 12290 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_footprintdns.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x80090016 安全性 Audit Failure 12290 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_1_footprintdns.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x80090016 安全性 Audit Failure 12290 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_0_footprintdns.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x80090016 安全性 Audit Success 12290 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_footprintdns.com 密钥类型: %%2500 加密操作: 操作: %%2481 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_footprintdns.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\0864bb47f2eb5792242e292f093bd059_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2459 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:19:51 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_footprintdns.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 13824 2022-04-29 21:25:09 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: DefaultAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-29 21:25:09 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: Guest 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-29 21:25:09 Microsoft-Windows-Security-Auditing 4797: 试图查询帐户是否存在空白密码。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 其他信息: 调用方工作站: XTT-20220421VKV 目标帐户名: WDAGUtilityAccount 目标帐户域: XTT-20220421VKV 安全性 Audit Success 13824 2022-04-29 21:33:27 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x3124 进程名称: D:\360安全浏览器下载\HDDogBeta3.0.1.19.exe 安全性 Audit Success 12544 2022-04-29 21:36:22 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 21:36:22 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 21:36:22 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12290 2022-04-29 21:36:26 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:36:26 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_bing.com 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\887a471fc5377c5cbe6e38ac87d5a40f_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:36:26 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_bing.com 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 21:36:31 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:36:31 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:36:31 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12290 2022-04-29 21:36:36 Microsoft-Windows-Security-Auditing 5061: 加密操作。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 加密操作: 操作: %%2480 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:36:36 Microsoft-Windows-Security-Auditing 5058: 密钥文件操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: UNKNOWN 密钥名称: TB_2_msedge.net 密钥类型: %%2500 密钥文件操作信息: 文件路径: C:\Users\Administrator\AppData\Local\Packages\microsoft.windows.search_cw5n1h2txyewy\AC\Microsoft\Crypto\TokenBindingKeys\Keys\cf5cb1723dccff2c0ea8430f59e66dc5_d9de8a40-87ad-49d1-b3ea-4647cf3f988a_94010fb48af238f6ca3f233fc31d9c4f 操作: %%2458 返回代码: 0x0 安全性 Audit Success 12292 2022-04-29 21:36:36 Microsoft-Windows-Security-Auditing 5059: 密钥迁移操作。 主题: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 进程信息: 进程 ID: 12104 进程创建时间: 2022-04-29T11:15:15.4116915Z 加密参数: 提供程序名称: Microsoft Software Key Storage Provider 算法名称: ECDSA_P256 密钥名称: TB_2_msedge.net 密钥类型: %%2500 其他信息: 操作: %%2464 返回代码: 0x0 安全性 Audit Success 12544 2022-04-29 21:45:13 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 21:45:13 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 21:45:13 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 21:53:01 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 21:53:01 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 21:53:01 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 21:59:54 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 21:59:54 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 21:59:54 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 12544 2022-04-29 22:11:48 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 22:11:48 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 22:11:48 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 安全性 Audit Success 13824 2022-04-29 22:38:18 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x37e4 进程名称: C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe 安全性 Audit Success 13824 2022-04-29 22:38:35 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x37e4 进程名称: C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe 安全性 Audit Success 13824 2022-04-29 22:38:41 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb69c9 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x37e4 进程名称: C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe 安全性 Audit Success 13824 2022-04-29 22:56:55 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:56:55 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:56:55 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:56:55 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-501 帐户名称: Guest 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-503 帐户名称: DefaultAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13824 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4798: 已枚举用户的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 用户: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-504 帐户名称: WDAGUtilityAccount 帐户域: XTT-20220421VKV 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-579 组名: Access Control Assistance Operators 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-544 组名: Administrators 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-551 组名: Backup Operators 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-569 组名: Cryptographic Operators 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-583 组名: Device Owners 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-562 组名: Distributed COM Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-573 组名: Event Log Readers 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-546 组名: Guests 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-578 组名: Hyper-V Administrators 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-568 组名: IIS_IUSRS 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-556 组名: Network Configuration Operators 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-559 组名: Performance Log Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-558 组名: Performance Monitor Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-547 组名: Power Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-555 组名: Remote Desktop Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-580 组名: Remote Management Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-552 组名: Replicator 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-581 组名: System Managed Accounts Group 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 13826 2022-04-29 22:58:09 Microsoft-Windows-Security-Auditing 4799: 已枚举启用了安全机制的本地组成员身份。 使用者: 安全 ID: S-1-5-21-2054020387-527707529-3471704410-500 帐户名称: Administrator 帐户域: XTT-20220421VKV 登录 ID: 0xb6916 组: 安全 ID: S-1-5-32-545 组名: Users 组域: Builtin 进程信息: 进程 ID: 0x26e0 进程名称: D:\Program Files\AIDA64 Extreme\aida64.exe 安全性 Audit Success 12544 2022-04-29 22:58:41 Microsoft-Windows-Security-Auditing 4624: 已成功登录帐户。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: %%1843 提升的令牌: %%1842 模拟级别: %%1833 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0x308 进程名称: C:\Windows\System32\services.exe 网络信息: 工作站名称: - 源网络地址: - 源端口: - 详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 创建登录会话时,将在被访问的计算机上生成此事件。 “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。 “模拟级别”字段指示登录会话中的进程可以模拟到的程度。 “身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。 安全性 Audit Success 12548 2022-04-29 22:58:41 Microsoft-Windows-Security-Auditing 4672: 为新登录分配了特殊权限。 使用者: 安全 ID: S-1-5-18 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege 安全性 Audit Success 12554 2022-04-29 22:58:41 Microsoft-Windows-Security-Auditing 4627: 组成员身份信息。 使用者: 安全 ID: S-1-5-18 帐户名称: XTT-20220421VKV$ 帐户域: WorkGroup 登录 ID: 0x3e7 登录类型: 5 新登录: 安全 ID: S-1-5-18 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3e7 事件顺序: 1/1 组成员身份: %{S-1-5-32-544} %{S-1-1-0} %{S-1-5-11} %{S-1-16-16384} “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。 “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。 “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。 配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。 系统 错误 无 2022-04-22 23:23:52 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-22 23:23:52 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 1014 2022-04-22 23:30:45 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 browser.360.cn 的名称解析超时。 系统 警告 1014 2022-04-22 23:31:41 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 wpad 的名称解析超时。 系统 警告 1014 2022-04-22 23:31:53 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 cloud.browser.360.cn 的名称解析超时。 系统 警告 无 2022-04-23 08:57:13 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-23 08:57:13 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 警告 无 2022-04-23 08:57:37 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-23 08:57:37 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-23 08:58:17 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 08:58:17 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:00:34 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:00:34 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:02:37 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:02:37 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:02:38 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:02:38 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:02:45 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:02:45 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-23 09:03:55 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-23 09:04:04 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:04 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:06 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:06 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:14 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:14 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 09:04:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 1014 2022-04-23 09:39:47 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 hm.baidu.com 的名称解析超时。 系统 警告 1014 2022-04-23 10:53:50 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 cloud.browser.360.cn 的名称解析超时。 系统 警告 1014 2022-04-23 10:54:28 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 awzyurwdm 的名称解析超时。 系统 警告 1014 2022-04-23 10:54:30 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 fight.pet.qq.com 的名称解析超时。 系统 警告 1014 2022-04-23 10:56:17 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 wpad 的名称解析超时。 系统 错误 无 2022-04-23 11:23:27 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 11:23:27 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 1014 2022-04-23 12:03:29 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 pinghot.qq.com 的名称解析超时。 系统 错误 无 2022-04-23 14:23:05 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 14:23:05 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 14:59:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 14:59:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 1014 2022-04-23 15:24:20 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 isdspeed.qq.com 的名称解析超时。 系统 错误 无 2022-04-23 15:39:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 15:39:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-23 18:54:41 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-23 18:54:41 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-23 18:54:52 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-23 18:54:52 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-24 08:13:18 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-24 08:13:18 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-24 08:14:12 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 08:14:12 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 08:23:04 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 08:23:04 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 08:26:58 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 08:26:58 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 09:26:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 09:26:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 09:33:39 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 09:33:39 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 09:34:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 09:34:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-24 11:51:44 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-24 11:51:44 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 警告 7 2022-04-24 11:52:49 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 1 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-24 11:52:49 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 0 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-24 11:52:49 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 3 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-24 11:52:49 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 2 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 无 2022-04-24 11:53:29 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-24 11:53:29 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-24 11:55:01 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:55:01 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:55:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:55:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:55:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:55:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:58:26 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:58:26 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:58:27 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:58:27 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:58:28 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 11:58:28 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 12:03:56 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 12:03:56 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-24 12:04:30 Service Control Manager 7043: Windows Update 服务在接收到预关闭控制后未正确关闭。 系统 错误 无 2022-04-25 11:13:57 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-25 11:14:23 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 11:14:23 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-25 11:14:42 EventLog 6008: 上一次系统的 2:55:03 在 ?2022/?4/?25 上的关闭是意外的。 系统 警告 无 2022-04-25 11:15:19 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-25 11:15:19 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 7 2022-04-25 11:15:26 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 0 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-25 11:15:26 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 1 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-25 11:15:26 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 3 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-25 11:15:26 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 2 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 错误 无 2022-04-25 11:17:33 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:17:33 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:17:38 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:17:38 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:18:30 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:18:30 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:20:18 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:20:18 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:20:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:20:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:20:59 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:20:59 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:25:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:25:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:26:52 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:26:52 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:27:08 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:27:08 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 11:27:42 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-25 11:27:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:27:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:28:02 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:28:02 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:28:03 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:28:03 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 1014 2022-04-25 11:38:02 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 static.googles.com 的名称解析超时。 系统 错误 无 2022-04-25 11:57:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 11:57:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 13:38:36 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 13:38:36 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-25 13:42:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 13:54:46 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 13:54:46 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 14:02:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 14:02:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 14:23:00 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 14:23:00 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 警告 1014 2022-04-25 14:23:06 NETWORK SERVICE Microsoft-Windows-DNS-Client 1014: 在没有配置的 DNS 服务器响应之后,名称 wpad 的名称解析超时。 系统 错误 无 2022-04-25 14:41:30 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 14:41:30 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 15:21:23 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 15:21:23 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-25 15:34:12 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 15:34:12 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 15:34:13 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 15:34:13 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:36:13 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-25 17:36:38 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 17:36:38 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 警告 7 2022-04-25 17:37:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 0 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-25 17:37:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 2 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-25 17:37:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 3 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-25 17:37:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 1 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 无 2022-04-25 17:37:38 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-25 17:37:38 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-25 17:38:53 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:38:53 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:39:51 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:39:51 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 17:41:03 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-25 17:41:03 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-25 17:41:03 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-25 17:41:07 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:07 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:34 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:34 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:41:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:42:39 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:42:39 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:43:01 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:43:01 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:48:11 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:48:11 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:59:14 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 17:59:14 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 18:04:18 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 18:04:18 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 18:37:43 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 18:37:43 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-25 19:07:45 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 19:10:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 19:10:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 19:45:33 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-25 19:45:33 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-25 20:50:51 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-25 20:50:51 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-26 23:19:43 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-26 23:20:09 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-26 23:20:09 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-27 13:42:49 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-27 13:43:09 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-27 13:43:09 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-27 13:43:35 EventLog 6008: 上一次系统的 23:20:22 在 ?2022/?4/?26 上的关闭是意外的。 系统 警告 无 2022-04-27 13:44:10 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-27 13:44:10 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 7 2022-04-27 13:44:10 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 3 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-27 13:44:10 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 2 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-27 13:44:10 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 0 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-27 13:44:10 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 1 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 错误 无 2022-04-27 13:45:45 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:45:45 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:46:03 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:46:03 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:46:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:46:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:46:16 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:46:16 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:09 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:21 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:21 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:23 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:49:23 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:55:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:55:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:59:11 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 13:59:11 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:04:40 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:04:40 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-27 14:11:02 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-27 14:11:11 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:11:11 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:11:20 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:11:20 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:11:21 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:11:21 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-27 14:20:05 SYSTEM Microsoft-Windows-FilterManager 5: 文件系统筛选器“360AntiSteal”(版本 6.1,2022-01-17T15:42:49.0000000Z)无法注册到筛选器管理器。此操作的最终状态是 0xc0000034。 系统 错误 无 2022-04-27 14:21:35 Service Control Manager 7000: 由于下列错误,360qpesv driver 服务启动失败: %%6 系统 错误 无 2022-04-27 14:25:13 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:25:13 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:31:26 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 14:31:26 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-27 15:04:28 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-27 15:04:28 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-27 15:06:24 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 15:06:24 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-27 19:18:57 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-27 19:18:57 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-27 19:19:08 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 19:19:08 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 19:19:18 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 19:19:18 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-27 20:27:10 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-27 20:27:11 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-27 21:31:01 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-27 21:31:01 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-28 14:26:12 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-28 14:26:22 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-28 14:26:22 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 警告 7 2022-04-28 14:27:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 0 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-28 14:27:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 2 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-28 14:27:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 1 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-28 14:27:30 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 3 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 错误 无 2022-04-28 23:25:17 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-28 23:25:26 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-28 23:25:26 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-28 23:25:55 EventLog 6008: 上一次系统的 14:27:05 在 ?2022/?4/?28 上的关闭是意外的。 系统 错误 无 2022-04-29 13:05:58 volmgr 46: 故障转储初始化未成功 系统 警告 无 2022-04-29 13:06:10 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-29 13:06:10 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-29 13:06:43 EventLog 6008: 上一次系统的 23:25:55 在 ?2022/?4/?28 上的关闭是意外的。 系统 警告 7 2022-04-29 13:07:19 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 3 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-29 13:07:19 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 1 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-29 13:07:19 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 2 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 7 2022-04-29 13:07:19 SYSTEM Microsoft-Windows-Kernel-Processor-Power 37: Hyper-V 逻辑处理器 0 的速度受系统固件的限制。自上次报告以来,该处理器已经处于此低性能状态 71 秒。 系统 警告 无 2022-04-29 13:07:23 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-29 13:07:23 LOCAL SERVICE DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19)授予针对 CLSID 为 {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52} 、APPID 为 {4839DDB7-58C2-48F5-8283-E1D1807D0D7D} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 警告 无 2022-04-29 13:09:35 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-29 13:09:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:09:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:10:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:10:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:11:30 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:11:30 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:19 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:24 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:24 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:59 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:12:59 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:14:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:14:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:16:02 Service Control Manager 7034: 服务 2345加速浏览器安全中心 意外停止。这发生了 1 次。 系统 错误 无 2022-04-29 13:23:02 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:23:02 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:23:23 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:23:23 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:27:29 Service Control Manager 7034: 服务 IQIYI Video Platform Service 意外停止。这发生了 1 次。 系统 错误 无 2022-04-29 13:28:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:28:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:28:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:28:22 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:29:37 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:29:37 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:29:48 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:29:48 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:29:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:29:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:31:31 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:31:31 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-29 13:32:21 Administrator DCOM 10016: 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 XTT-20220421VKV\Administrator SID (S-1-5-21-2054020387-527707529-3471704410-500)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 系统 错误 无 2022-04-29 13:32:29 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:32:29 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:32:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:32:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:32:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:32:43 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:36:44 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 13:36:44 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 14:04:56 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 14:04:56 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-29 17:17:43 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-29 17:17:43 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-29 17:17:48 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 17:17:48 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-29 18:28:36 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-29 18:28:40 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 警告 无 2022-04-29 19:15:02 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-29 19:15:02 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-29 19:15:20 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 19:15:20 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-29 20:04:53 BTHUSB 48: 本地适配器不支持读取已连接设备的加密密钥大小。不安全的设备可能能够连接到此系统。 系统 警告 无 2022-04-29 20:04:54 BTHUSB 34: 本地适配器不支持重要的低能耗控制器状态,因此不支持外设模式。所需的最小支持状态掩码为 0x2491f7fffff,获得 0x1fffffff。低能耗外设角色功能将不可用。 系统 错误 无 2022-04-29 20:06:14 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 20:06:14 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 20:59:27 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 20:59:27 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 20:59:32 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 20:59:32 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 警告 无 2022-04-29 20:59:36 ACPI 15: ?: 当无请求时,嵌入式控制器(EC)返回数据。BIOS 可能试图在没有与操作系统同步的情况下访问 EC。此数据将被忽略。不需要执行进一步操作;但是,请与你的计算机制造商联系,获取升级的 BIOS。 系统 警告 无 2022-04-29 20:59:36 ACPI 15: ?: 当无请求时,嵌入式控制器(EC)返回数据。BIOS 可能试图在没有与操作系统同步的情况下访问 EC。此数据将被忽略。不需要执行进一步操作;但是,请与你的计算机制造商联系,获取升级的 BIOS。 系统 警告 无 2022-04-29 20:59:36 ACPI 15: ?: 当无请求时,嵌入式控制器(EC)返回数据。BIOS 可能试图在没有与操作系统同步的情况下访问 EC。此数据将被忽略。不需要执行进一步操作;但是,请与你的计算机制造商联系,获取升级的 BIOS。 系统 警告 无 2022-04-29 20:59:36 ACPI 15: ?: 当无请求时,嵌入式控制器(EC)返回数据。BIOS 可能试图在没有与操作系统同步的情况下访问 EC。此数据将被忽略。不需要执行进一步操作;但是,请与你的计算机制造商联系,获取升级的 BIOS。 系统 警告 无 2022-04-29 20:59:36 ACPI 15: ?: 当无请求时,嵌入式控制器(EC)返回数据。BIOS 可能试图在没有与操作系统同步的情况下访问 EC。此数据将被忽略。不需要执行进一步操作;但是,请与你的计算机制造商联系,获取升级的 BIOS。 系统 错误 无 2022-04-29 21:04:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 21:04:15 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 21:09:17 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 21:09:17 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 21:59:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 21:59:42 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:11:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:11:54 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:11:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:11:55 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:37:17 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:37:17 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:46:33 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:46:33 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:51:24 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 系统 错误 无 2022-04-29 22:51:24 SYSTEM Schannel 36871: 创建 TLS 客户端 凭据时发生严重错误。内部错误状态为 10013。 --------[ 数据库软件 ]-------------------------------------------------------------------------------------------------- 数据库驱动程序: Borland Database Engine - Borland InterBase Client - Easysoft ODBC-InterBase 6 - Easysoft ODBC-InterBase 7 - Firebird Client - Jet Engine 4.00.9801.22 MDAC 10.0.19041.1 (WinBuild.160101.0800) ODBC 10.0.19041.1 (WinBuild.160101.0800) MySQL Connector/ODBC - Oracle Client - PsqlODBC - Sybase ASE ODBC - 数据库服务器: Borland InterBase Server - Firebird Server - Microsoft SQL Server - Microsoft SQL Server Compact Edition - Microsoft SQL Server Express Edition - MySQL Server - Oracle Server - PostgreSQL Server - Sybase SQL Server - --------[ ODBC 驱动程序 ]----------------------------------------------------------------------------------------------- Driver da Microsoft para arquivos texto (*.txt; *.csv) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.,*.asc,*.csv,*.tab,*.txt,*.csv Driver do Microsoft Access (*.mdb) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.mdb [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] Driver do Microsoft Excel(*.xls) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.xls Driver do Microsoft Paradox (*.db ) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.db [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] Microsoft Access-Treiber (*.mdb) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.mdb Microsoft dBase Driver (*.dbf) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.dbf,*.ndx,*.mdx [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] Microsoft Excel Driver (*.xls) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.xls Microsoft Excel-Treiber (*.xls) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.xls [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] Microsoft Paradox Driver (*.db ) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.db Microsoft Paradox-Treiber (*.db ) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.db [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] [ TRIAL VERSION ] Microsoft Text-Treiber (*.txt; *.csv) odbcjt32.dll 10.0.19041.1 (WinBuild.160101.0800) *.,*.asc,*.csv,*.tab,*.txt,*.csv SQL Server sqlsrv32.dll 10.0.19041.1 (WinBuild.160101.0800) --------[ 内存读取 ]---------------------------------------------------------------------------------------------------- 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 111198 MB/秒 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 84780 MB/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 77068 MB/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 73393 MB/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 68050 MB/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 67728 MB/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 59309 MB/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 52263 MB/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 48508 MB/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 48492 MB/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 47982 MB/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 47950 MB/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 45280 MB/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 44811 MB/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 43916 MB/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 42984 MB/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 41760 MB/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 41108 MB/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 39285 MB/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 38265 MB/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 35611 MB/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 31176 MB/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 30202 MB/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 27404 MB/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 27235 MB/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 26279 MB/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 24324 MB/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 23639 MB/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 23242 MB/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 21557 MB/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 21290 MB/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 21240 MB/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 21238 MB/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 21178 MB/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 21007 MB/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 20056 MB/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 19438 MB/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 19189 MB/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 18848 MB/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 17754 MB/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 16602 MB/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 16436 MB/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 15717 MB/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 14716 MB/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 14070 MB/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 13509 MB/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 13158 MB/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 11433 MB/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 11214 MB/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 10581 MB/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 10204 MB/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 9660 MB/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 9021 MB/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 8734 MB/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 8543 MB/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 8160 MB/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 7992 MB/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 7620 MB/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 7540 MB/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 6560 MB/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 6431 MB/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 6238 MB/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 6013 MB/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 6000 MB/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 5833 MB/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 5392 MB/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 5334 MB/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 4591 MB/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 3971 MB/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 3938 MB/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 3672 MB/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 3569 MB/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 3364 MB/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 3323 MB/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 2919 MB/秒 --------[ 内存写入 ]---------------------------------------------------------------------------------------------------- 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 93898 MB/秒 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 87032 MB/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 73328 MB/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 70987 MB/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 65654 MB/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 60842 MB/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 60036 MB/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 57972 MB/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 53174 MB/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 47455 MB/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 47142 MB/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 46982 MB/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 46708 MB/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 45695 MB/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 43923 MB/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 43505 MB/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 42178 MB/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 41017 MB/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 40010 MB/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 33252 MB/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 33018 MB/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 32373 MB/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 27387 MB/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 23902 MB/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 23635 MB/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 23455 MB/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 23071 MB/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 19577 MB/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 17670 MB/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 17365 MB/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 17092 MB/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 16992 MB/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 16893 MB/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 16676 MB/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 14837 MB/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 14246 MB/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 13065 MB/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 12775 MB/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 12475 MB/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 11929 MB/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 10653 MB/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 10227 MB/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 10159 MB/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 9953 MB/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 9949 MB/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 9814 MB/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 9323 MB/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 8864 MB/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 8646 MB/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 7921 MB/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 7706 MB/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 7114 MB/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 7091 MB/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 7083 MB/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 6734 MB/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 5654 MB/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 5638 MB/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 5518 MB/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 4868 MB/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 4829 MB/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 4696 MB/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 4592 MB/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 4260 MB/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 4219 MB/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 4094 MB/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 4074 MB/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 3803 MB/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 3652 MB/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 3561 MB/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 3154 MB/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 2831 MB/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 2797 MB/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 2472 MB/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 2335 MB/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 2327 MB/秒 --------[ 内存复制 ]---------------------------------------------------------------------------------------------------- 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 104689 MB/秒 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 86472 MB/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 68557 MB/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 67051 MB/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 66492 MB/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 61763 MB/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 54396 MB/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 51448 MB/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 50972 MB/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 48034 MB/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 43980 MB/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 43036 MB/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 43024 MB/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 42705 MB/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 39162 MB/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 38487 MB/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 38046 MB/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 37859 MB/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 37551 MB/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 34718 MB/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 30090 MB/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 30063 MB/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 26791 MB/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 24893 MB/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 24569 MB/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 24331 MB/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 23704 MB/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 23670 MB/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 22688 MB/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 21684 MB/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 21560 MB/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 19590 MB/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 18706 MB/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 17604 MB/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 17551 MB/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 17365 MB/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 17343 MB/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 17256 MB/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 16691 MB/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 15854 MB/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 15829 MB/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 15257 MB/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 14927 MB/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 14078 MB/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 14015 MB/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 12460 MB/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 12113 MB/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 11321 MB/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 11246 MB/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 9653 MB/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 9482 MB/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 8936 MB/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 8217 MB/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 7656 MB/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 7609 MB/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 7389 MB/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 6278 MB/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 6127 MB/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 5911 MB/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 5510 MB/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 5287 MB/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 4893 MB/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 4777 MB/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 4690 MB/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 4551 MB/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 4237 MB/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 4194 MB/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 4174 MB/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 3681 MB/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 3269 MB/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 3145 MB/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 3051 MB/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 3000 MB/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 2987 MB/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 2576 MB/秒 --------[ 内存潜伏 ]---------------------------------------------------------------------------------------------------- Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 55.2 ns Core i7-3770K 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 57.1 ns Core i9-10900K 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 58.2 ns Core i7-4770 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 58.5 ns Core i9-11900K 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 59.2 ns A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 59.9 ns Core i7-8700K 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 60.7 ns FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 60.9 ns Core i7-4930K 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 61.0 ns FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 61.2 ns FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 62.5 ns A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 62.9 ns Core i7-965 Extreme 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 63.1 ns Core i7-7700K 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 63.8 ns Core i7-6700K 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 64.5 ns Ryzen 9 5900X 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 65.8 ns Core i7-2600 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 66.4 ns Core i7-5775C 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 66.7 ns Core i7-990X Extreme 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 66.8 ns Core i7-3960X Extreme 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 67.5 ns Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 69.6 ns Xeon X5550 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 70.4 ns Core i7-6850K 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 70.5 ns Ryzen Threadripper 2990WX 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 71.1 ns Core i7-5820K 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 72.1 ns Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 72.5 ns Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 74.0 ns Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 74.2 ns Ryzen 5 2400G 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 74.8 ns Ryzen 7 2700X 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 75.5 ns Ryzen 9 3950X 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 76.0 ns A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 76.0 ns Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 77.0 ns Core i7-7800X 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 77.1 ns Core i9-12900K 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 77.2 ns Pentium EE 955 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 78.5 ns Xeon E5-2670 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 79.5 ns Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 79.8 ns Core i5-4210U 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 81.3 ns Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 81.4 ns A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 82.4 ns Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 82.4 ns Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 82.5 ns P4EE 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 82.6 ns Ryzen 7 1800X 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 84.2 ns Xeon E5-2660 v3 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 84.2 ns Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 85.8 ns Ryzen Threadripper 3970X 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 86.6 ns Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 88.1 ns Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 90.0 ns Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 91.3 ns Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 93.1 ns Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 94.7 ns Atom D525 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 95.3 ns A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 96.9 ns Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 99.5 ns Core i5-650 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 100.4 ns Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 101.2 ns Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 101.6 ns Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 104.1 ns Atom 230 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 106.5 ns E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 108.3 ns Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 112.5 ns Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 113.4 ns Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 114.5 ns Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 119.9 ns Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 123.5 ns Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 123.9 ns Xeon 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 124.7 ns Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 127.7 ns Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 128.2 ns Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 129.0 ns Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 138.7 ns Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 153.6 ns Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 159.8 ns --------[ CPU Queen ]--------------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 275137 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 218468 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 149725 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 146370 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 137124 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 133663 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 117356 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 104688 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 99682 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 92521 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 85764 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 72318 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 67341 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 64885 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 62693 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 62382 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 59956 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 56864 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 55347 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 54386 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 53521 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 49369 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 48781 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 47712 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 47270 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 46792 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 45800 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 43962 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 42538 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 41733 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 37779 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 36105 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 34010 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 32362 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 31729 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 30788 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 26992 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 25503 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 22146 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 22010 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 21993 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 21796 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 21669 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 21454 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 21431 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 21226 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 20130 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 19490 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 19484 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 19232 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 18844 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 18011 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 17050 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 16868 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 16100 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 15584 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 14761 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 12584 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 12147 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 11234 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 8547 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 7464 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 7287 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 5916 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 5444 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 5165 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 4078 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 4025 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 3855 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 3791 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 3514 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 3301 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 2815 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 2586 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 1839 --------[ CPU PhotoWorxx ]---------------------------------------------------------------------------------------------- 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 61941 兆像素/秒 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 56084 兆像素/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 39906 兆像素/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 38828 兆像素/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 38788 兆像素/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 37679 兆像素/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 35548 兆像素/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 30464 兆像素/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 26627 兆像素/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 24196 兆像素/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 23804 兆像素/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 23510 兆像素/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 23423 兆像素/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 23361 兆像素/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 23117 兆像素/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 22800 兆像素/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 21235 兆像素/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 20497 兆像素/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 20476 兆像素/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 20436 兆像素/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 19808 兆像素/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 19333 兆像素/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 17044 兆像素/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 15562 兆像素/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 14159 兆像素/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 13983 兆像素/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 12969 兆像素/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 12359 兆像素/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 12350 兆像素/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 11904 兆像素/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 11889 兆像素/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 11589 兆像素/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 11089 兆像素/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 10676 兆像素/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 9889 兆像素/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 9568 兆像素/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 9091 兆像素/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 8902 兆像素/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 8800 兆像素/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 8593 兆像素/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 8546 兆像素/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 8073 兆像素/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 7926 兆像素/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 7765 兆像素/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 6976 兆像素/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 6876 兆像素/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 6111 兆像素/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 5627 兆像素/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 5276 兆像素/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 4792 兆像素/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 4726 兆像素/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 4243 兆像素/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 4214 兆像素/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 3847 兆像素/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 3701 兆像素/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 3459 兆像素/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 3004 兆像素/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 2927 兆像素/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 2790 兆像素/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 2536 兆像素/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 2146 兆像素/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 1998 兆像素/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 1901 兆像素/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 1895 兆像素/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 1869 兆像素/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 1864 兆像素/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 1852 兆像素/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 1788 兆像素/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 1676 兆像素/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 1253 兆像素/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 1220 兆像素/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 1102 兆像素/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 1096 兆像素/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 878 兆像素/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 831 兆像素/秒 --------[ CPU ZLib ]---------------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 3262.0 MB/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 2482.3 MB/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 1649.4 MB/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 1592.6 MB/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 1317.6 MB/秒 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 1220.9 MB/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 1092.1 MB/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 977.6 MB/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 942.7 MB/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 755.1 MB/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 697.3 MB/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 672.5 MB/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 577.1 MB/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 544.1 MB/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 495.0 MB/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 453.8 MB/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 437.7 MB/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 432.7 MB/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 415.0 MB/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 408.8 MB/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 365.9 MB/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 359.1 MB/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 357.7 MB/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 356.9 MB/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 354.1 MB/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 345.2 MB/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 325.2 MB/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 318.5 MB/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 313.7 MB/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 286.5 MB/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 281.2 MB/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 275.1 MB/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 256.3 MB/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 243.7 MB/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 224.6 MB/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 209.5 MB/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 189.0 MB/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 188.7 MB/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 186.0 MB/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 183.3 MB/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 174.9 MB/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 173.8 MB/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 169.8 MB/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 153.9 MB/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 151.9 MB/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 151.4 MB/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 136.0 MB/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 135.1 MB/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 116.8 MB/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 112.0 MB/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 107.9 MB/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 105.3 MB/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 103.3 MB/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 99.1 MB/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 97.2 MB/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 95.3 MB/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 84.0 MB/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 82.8 MB/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 73.7 MB/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 73.2 MB/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 60.0 MB/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 58.4 MB/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 41.7 MB/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 41.5 MB/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 33.3 MB/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 32.8 MB/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 32.2 MB/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 31.7 MB/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 24.0 MB/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 22.6 MB/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 19.6 MB/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 18.6 MB/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 17.4 MB/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 16.1 MB/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 15.3 MB/秒 --------[ CPU AES ]----------------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 287587 MB/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 222804 MB/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 208203 MB/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 207691 MB/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 172119 MB/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 147274 MB/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 70126 MB/秒 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 65836 MB/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 63094 MB/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 55876 MB/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 46884 MB/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 38015 MB/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 32539 MB/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 29420 MB/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 27374 MB/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 25216 MB/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 23205 MB/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 21097 MB/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 21096 MB/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 20676 MB/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 18237 MB/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 17940 MB/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 17292 MB/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 16802 MB/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 16345 MB/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 15377 MB/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 14455 MB/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 13667 MB/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 12246 MB/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 10337 MB/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 9791 MB/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 9136 MB/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 9011 MB/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 8503 MB/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 8500 MB/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 6557 MB/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 4924 MB/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 4624 MB/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 4052 MB/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 3781 MB/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 2908 MB/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 1930 MB/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 1619 MB/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 1452 MB/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 1332 MB/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 1286 MB/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 1233 MB/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 1152 MB/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 914 MB/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 802 MB/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 791 MB/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 790 MB/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 721 MB/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 663 MB/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 587 MB/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 567 MB/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 524 MB/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 494 MB/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 473 MB/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 421 MB/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 387 MB/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 312 MB/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 277 MB/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 269 MB/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 242 MB/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 153 MB/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 148 MB/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 144 MB/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 131 MB/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 108 MB/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 105 MB/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 99 MB/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 98 MB/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 85 MB/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 44 MB/秒 --------[ CPU SHA3 ]---------------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 10076 MB/秒 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 7279 MB/秒 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 6040 MB/秒 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 5468 MB/秒 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 5157 MB/秒 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 5107 MB/秒 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 5094 MB/秒 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 5074 MB/秒 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 3419 MB/秒 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 2678 MB/秒 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 2668 MB/秒 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 2524 MB/秒 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 2234 MB/秒 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 2066 MB/秒 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 2013 MB/秒 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 1885 MB/秒 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 1868 MB/秒 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 1654 MB/秒 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 1367 MB/秒 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 1339 MB/秒 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 1314 MB/秒 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 1180 MB/秒 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 1178 MB/秒 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 1136 MB/秒 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 1076 MB/秒 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 1037 MB/秒 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 1031 MB/秒 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 1004 MB/秒 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 912 MB/秒 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 876 MB/秒 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 845 MB/秒 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 834 MB/秒 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 796 MB/秒 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 758 MB/秒 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 736 MB/秒 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 726 MB/秒 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 684 MB/秒 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 625 MB/秒 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 625 MB/秒 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 581 MB/秒 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 577 MB/秒 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 555 MB/秒 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 547 MB/秒 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 532 MB/秒 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 525 MB/秒 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 523 MB/秒 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 489 MB/秒 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 432 MB/秒 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 427 MB/秒 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 418 MB/秒 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 401 MB/秒 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 385 MB/秒 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 329 MB/秒 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 327 MB/秒 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 291 MB/秒 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 272 MB/秒 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 269 MB/秒 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 260 MB/秒 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 243 MB/秒 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 213 MB/秒 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 205 MB/秒 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 200 MB/秒 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 146 MB/秒 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 110 MB/秒 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 107 MB/秒 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 106 MB/秒 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 105 MB/秒 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 99 MB/秒 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 96 MB/秒 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 90 MB/秒 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 73 MB/秒 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 72 MB/秒 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 65 MB/秒 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 51 MB/秒 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 47 MB/秒 --------[ FPU Julia ]--------------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 302597 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 150126 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 149498 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 137260 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 133033 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 110939 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 104199 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 77770 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 66364 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 62489 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 54933 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 40870 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 40355 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 38538 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 38475 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 36116 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 33985 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 30190 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 28482 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 27707 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 26893 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 24746 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 19514 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 18909 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 18453 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 18309 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 18009 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 17672 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 15941 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 15291 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 13498 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 12633 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 12205 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 11912 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 11127 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 9367 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 8958 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 8746 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 8686 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 8203 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 8070 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 7958 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 7598 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 7432 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 7019 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 6987 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 6526 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 6416 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 6228 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 6169 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 5655 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 5600 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 5580 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 5577 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 5235 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 4053 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 3534 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 3487 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 2443 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 2388 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 2308 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 2053 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 1988 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 1865 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 1332 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 1307 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 1112 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 958 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 911 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 892 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 794 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 701 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 640 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 589 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 513 --------[ FPU Mandel ]-------------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 160624 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 81426 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 78015 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 70345 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 68656 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 54573 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 53227 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 44149 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 36624 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 32939 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 29549 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 21688 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 21361 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 20739 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 20162 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 19162 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 18295 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 15402 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 15100 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 14861 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 14256 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 12630 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 10344 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 9885 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 9781 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 9318 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 8675 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 8614 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 8068 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 7273 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 6913 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 6434 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 6212 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 6096 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 5394 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 5016 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 4625 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 4421 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 4333 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 4180 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 4040 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 3970 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 3874 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 3646 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 3454 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 3349 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 3311 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 3174 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 3149 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 3068 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 2981 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 2890 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 2840 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 2675 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 2335 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 1823 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 1482 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 1449 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 1383 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 1189 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 1182 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 1062 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 1051 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 856 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 794 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 494 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 476 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 438 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 427 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 406 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 401 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 359 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 328 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 263 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 193 --------[ FPU SinJulia ]------------------------------------------------------------------------------------------------ 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 55785 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 46565 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 28711 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 19222 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 18480 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 16033 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 14781 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 14698 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 13524 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 12653 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 11094 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 7786 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 7470 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 7272 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 7240 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 7218 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 7116 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 6993 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 6821 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 6513 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 6270 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 5461 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 4978 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 4823 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 4715 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 4675 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 4658 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 4611 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 4586 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 4137 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 3540 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 3212 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 3100 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 2831 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 2642 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 2589 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 2304 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 2266 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 2221 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 2210 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 2042 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 1934 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 1872 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 1855 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 1738 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 1618 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 1575 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 1498 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 1480 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 1478 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 1420 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 1377 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 1260 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 1178 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 1167 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 1049 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 1021 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 974 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 959 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 945 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 942 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 810 P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 516 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 503 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 463 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 452 Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 359 Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 327 Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 284 Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 277 Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 262 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 261 Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 205 Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 202 Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 131 --------[ FP32 Ray-Trace ]---------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 57477 KRay/s 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 28108 KRay/s 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 28059 KRay/s 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 26187 KRay/s 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 23630 KRay/s 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 18398 KRay/s 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 18275 KRay/s 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 16973 KRay/s 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 15902 KRay/s 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 11803 KRay/s 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 11356 KRay/s 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 8406 KRay/s 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 8266 KRay/s 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 7488 KRay/s 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 7406 KRay/s 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 7302 KRay/s 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 7263 KRay/s 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 5988 KRay/s 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 5195 KRay/s 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 5059 KRay/s 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 4853 KRay/s 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 4852 KRay/s 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 3747 KRay/s 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 3562 KRay/s 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 3360 KRay/s 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 2868 KRay/s 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 2653 KRay/s 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 2599 KRay/s 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 2559 KRay/s 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 2556 KRay/s 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 2541 KRay/s 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 2182 KRay/s 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 1982 KRay/s 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 1911 KRay/s 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 1695 KRay/s 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 1642 KRay/s 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 1629 KRay/s 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 1546 KRay/s 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 1379 KRay/s 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 1369 KRay/s 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 1313 KRay/s 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 1252 KRay/s 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 1215 KRay/s 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 1212 KRay/s 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 1175 KRay/s 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 1161 KRay/s 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 1129 KRay/s 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 1104 KRay/s 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 978 KRay/s 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 976 KRay/s 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 850 KRay/s 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 801 KRay/s 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 788 KRay/s 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 782 KRay/s 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 774 KRay/s 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 570 KRay/s 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 526 KRay/s 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 523 KRay/s 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 370 KRay/s 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 354 KRay/s 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 319 KRay/s 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 299 KRay/s 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 272 KRay/s Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 268 KRay/s 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 213 KRay/s P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 203 KRay/s 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 165 KRay/s Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 145 KRay/s 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 130 KRay/s Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 123 KRay/s Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 117 KRay/s Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 105 KRay/s Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 95 KRay/s Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 92 KRay/s Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 70 KRay/s --------[ FP64 Ray-Trace ]---------------------------------------------------------------------------------------------- 32x Ryzen Threadripper 3970X HT 3800 MHz Gigabyte TRX40 Aorus Xtreme TRX40 Quad DDR4-3200 16-18-18-36 CR1 31779 KRay/s 16x Core i9-12900K HT 3200 MHz Asus ROG Maximus Z690 Extreme Z690 Int. Quad DDR5-4800 40-39-39-76 CR2 15375 KRay/s 16x Ryzen 9 3950X HT 3500 MHz Gigabyte X570 Aorus Elite X570 Dual DDR4-3200 18-21-21-39 CR1 15328 KRay/s 32x Ryzen Threadripper 2990WX HT 3000 MHz MSI MEG X399 Creation X399 Quad DDR4-2933 16-18-18-38 CR1 13224 KRay/s 12x Ryzen 9 5900X HT 3700 MHz Asus Prime B550M-K B550 Dual DDR4-3200 22-22-22-52 CR1 12405 KRay/s 20x Xeon E5-2660 v3 HT 2600 MHz Supermicro X10DRi C612 Octal DDR4-1866R 13-13-13-31 CR1 9895 KRay/s 10x Core i9-10900K HT 3700 MHz Gigabyte Z490 Aorus Elite AC Z490 Int. Dual DDR4-2933 21-21-21-47 CR2 9569 KRay/s 8x Core i9-11900K HT 3500 MHz Gigabyte Z590 Aorus Master Z590 Int. Dual DDR4-3200 22-22-22-52 CR2 9216 KRay/s 6x Core i7-7800X HT 3500 MHz Gigabyte X299 UD4 X299 Quad DDR4-2667 15-17-17-35 CR2 8839 KRay/s 6x Core i7-8700K HT 3700 MHz Gigabyte Z370 Aorus Gaming 7 Z370 Int. Dual DDR4-2667 16-18-18-38 CR2 6383 KRay/s 16x Xeon E5-2670 HT 2600 MHz Supermicro X9DR6-F C600 Octal DDR3-1333 9-9-9-24 CR1 5969 KRay/s 4x Core i7-7700K HT 4200 MHz ASRock Z270 Extreme4 Z270 Ext. Dual DDR4-2133 15-15-15-36 CR2 4528 KRay/s 8x Ryzen 7 2700X HT 3700 MHz Asus Crosshair VII Hero X470 Dual DDR4-2933 16-20-21-49 CR1 4192 KRay/s 6x Core i7-6850K HT 3600 MHz Asus Strix X99 Gaming X99 Quad DDR4-2400 16-16-16-39 CR2 4136 KRay/s 6x Core i7-5820K HT 3300 MHz Gigabyte GA-X99-UD4 X99 Quad DDR4-2133 15-15-15-36 CR2 4050 KRay/s 8x Ryzen 7 1800X HT 3600 MHz Asus Crosshair VI Hero X370 Dual DDR4-2667 16-17-17-35 CR1 3996 KRay/s 4x Core i7-6700K HT 4000 MHz Gigabyte GA-Z170X-UD3 Z170 Int. Dual DDR4-2133 14-14-14-35 CR2 3966 KRay/s 32x Opteron 6274 2200 MHz Supermicro H8DGI-F SR5690 Octal DDR3-1600R 11-11-11-28 CR1 3256 KRay/s 6x Core i7-4930K HT 3400 MHz Gigabyte GA-X79-UD3 X79 Quad DDR3-1866 9-10-9-27 CR2 2807 KRay/s 4x Core i7-4770 HT 3400 MHz Intel DZ87KLT-75K Z87 Int. Dual DDR3-1600 9-9-9-27 CR2 2748 KRay/s 6x Core i7-3960X Extreme HT 3300 MHz Intel DX79SI X79 Quad DDR3-1600 9-9-9-24 CR2 2638 KRay/s 4x Core i7-5775C HT 3300 MHz Gigabyte GA-Z97MX-Gaming 5 Z97 Int. Dual DDR3-1600 11-11-11-28 CR1 2607 KRay/s 4x Ryzen 5 2400G HT 3600 MHz ASRock A320M Pro4 A320 Dual DDR4-2933 16-15-15-35 CR1 1961 KRay/s 4x Core i7-3770K HT 3500 MHz MSI Z77A-GD55 Z77 Int. Dual DDR3-1600 9-9-9-24 CR2 1918 KRay/s 4x Core i7-2600 HT 3400 MHz Asus P8P67 P67 Dual DDR3-1333 9-9-9-24 CR1 1817 KRay/s 12x Opteron 2431 2400 MHz Supermicro H8DI3+-F SR5690 Unganged Quad DDR2-800R 6-6-6-18 CR1 1559 KRay/s 6x Core i7-990X Extreme HT 3466 MHz Intel DX58SO2 X58 Triple DDR3-1333 9-9-9-24 CR1 1457 KRay/s 8x FX-8350 4000 MHz Asus M5A99X Evo R2.0 AMD990X Dual DDR3-1866 9-10-9-27 CR2 1388 KRay/s 8x Xeon X5550 HT 2666 MHz Supermicro X8DTN+ i5520 Hexa DDR3-1333 9-9-9-24 CR1 1379 KRay/s 16x Atom C3958 2000 MHz Supermicro A2SDi-H-TP4F Denverton Dual DDR4-2400 17-17-17-39 1367 KRay/s 8x FX-8150 3600 MHz Asus M5A97 AMD970 Dual DDR3-1866 9-10-9-27 CR2 1313 KRay/s 8x Xeon E5462 2800 MHz Intel S5400SF i5400 Quad DDR2-640FB 5-5-5-15 1159 KRay/s 8x Opteron 2378 2400 MHz Tyan Thunder n3600R nForcePro-3600 Unganged Quad DDR2-800R 6-6-6-18 CR1 1039 KRay/s 6x Phenom II X6 Black 1100T 3300 MHz Gigabyte GA-890GPA-UD3H v2 AMD890GX Int. Unganged Dual DDR3-1333 9-9-9-24 CR2 1037 KRay/s 2x Core i5-4210U HT 2400 MHz [ TRIAL VERSION ] LynxPointLP Int. Dual DDR3-1600 11-11-11-28 CR1 928 KRay/s 4x Core i7-965 Extreme HT 3200 MHz Asus P6T Deluxe X58 Triple DDR3-1333 9-9-9-24 CR1 900 KRay/s 6x FX-6100 3300 MHz Asus Sabertooth 990FX AMD990FX Dual DDR3-1866 9-10-9-27 CR2 874 KRay/s 4x A12-9800 3800 MHz Gigabyte GA-AB350M-Gaming 3 B350 Int. Dual DDR4-2400 14-16-16-31 CR1 852 KRay/s 4x A10-6800K 4100 MHz Gigabyte GA-F2A85X-UP4 A85X Int. Dual DDR3-2133 9-11-10-27 CR2 737 KRay/s 8x Xeon L5320 1866 MHz Intel S5000VCL i5000V Dual DDR2-533FB 4-4-4-12 724 KRay/s 4x A10-7850K 3700 MHz Gigabyte GA-F2A88XM-D3H A88X Int. Dual DDR3-2133 9-11-10-31 CR2 717 KRay/s 4x A10-5800K 3800 MHz Asus F2A55-M A55 Int. Dual DDR3-1866 9-10-9-27 CR2 671 KRay/s 8x Opteron 2344 HE 1700 MHz Supermicro H8DME-2 nForcePro-3600 Unganged Quad DDR2-667R 5-5-5-15 CR1 669 KRay/s 4x Phenom II X4 Black 940 3000 MHz Asus M3N78-EM GeForce8300 Int. Ganged Dual DDR2-800 5-5-5-18 CR2 626 KRay/s 4x Xeon X3430 2400 MHz Supermicro X8SIL-F i3420 Dual DDR3-1333 9-9-9-24 CR1 623 KRay/s 4x A8-3850 2900 MHz Gigabyte GA-A75M-UD2H A75 Int. Dual DDR3-1333 9-9-9-24 CR1 623 KRay/s 4x Core 2 Extreme QX9650 3000 MHz Gigabyte GA-EP35C-DS3R P35 Dual DDR3-1066 8-8-8-20 CR2 616 KRay/s 4x Celeron J4105 1500 MHz ASRock J4105-ITX GeminiLakeD Int. Dual DDR4-2400 17-17-17-39 539 KRay/s 4x Core 2 Extreme QX6700 2666 MHz Intel D975XBX2 i975X Dual DDR2-667 5-5-5-15 534 KRay/s 4x Xeon 5140 2333 MHz Intel S5000VSA i5000V Dual DDR2-667FB 5-5-5-15 466 KRay/s 8x Atom C2750 2400 MHz Supermicro A1SAi-2750F Avoton Dual DDR3-1600 11-11-11-28 CR1 459 KRay/s 4x Phenom X4 9500 2200 MHz Asus M3A AMD770 Ganged Dual DDR2-800 5-5-5-18 CR2 452 KRay/s 2x Core i5-650 HT 3200 MHz Supermicro C7SIM-Q Q57 Int. Dual DDR3-1333 9-9-9-24 CR1 443 KRay/s 4x Athlon 5350 2050 MHz ASRock AM1B-ITX Yangtze Int. DDR3-1600 SDRAM 11-11-11-28 CR2 435 KRay/s 4x Celeron J3455 1500 MHz ASRock J3455B-ITX ApolloLakeD Int. Dual DDR3-1866 11-11-11-32 CR1 428 KRay/s 2x Core 2 Extreme X6800 2933 MHz Abit AB9 P965 Dual DDR2-800 5-5-5-18 CR2 285 KRay/s 4x Celeron J1900 2000 MHz Gigabyte GA-J1900N-D3V BayTrailD Int. Dual DDR3-1333 9-9-9-24 CR1 210 KRay/s 2x Pentium EE 955 HT 3466 MHz Intel D955XBK i955X Dual DDR2-667 4-4-4-11 205 KRay/s 2x Xeon HT 3400 MHz Intel SE7320SP2 iE7320 Dual DDR333R 2.5-3-3-7 197 KRay/s 4x Opteron 2210 HE 1800 MHz Tyan Thunder h2000M BCM5785 Quad DDR2-600R 5-5-5-15 CR1 193 KRay/s 4x Celeron N3150 1600 MHz ASRock N3150B-ITX Braswell Int. Dual DDR3-1600 11-11-11-28 CR2 185 KRay/s 2x Athlon64 X2 Black 6400+ 3200 MHz MSI K9N SLI Platinum nForce570SLI Dual DDR2-800 4-4-4-11 CR1 176 KRay/s 2x Pentium D 820 2800 MHz Abit Fatal1ty F-I90HD RS600 Int. Dual DDR2-800 5-5-5-18 CR2 138 KRay/s Nano X2 L4350 1600 MHz VIA EPIA-M900 VX900H Int. DDR3-1066 SDRAM 7-7-7-20 CR2 120 KRay/s P4EE HT 3733 MHz Intel SE7230NH1LX iE7230 Dual DDR2-667 5-5-5-15 109 KRay/s 2x E-350 1600 MHz ASRock E350M1 A50M Int. DDR3-1066 SDRAM 8-8-8-20 CR1 79 KRay/s Celeron 420 1600 MHz Intel DQ965GF Q965 Int. Dual DDR2-667 5-5-5-15 71 KRay/s 2x Atom D525 HT 1800 MHz Gigabyte GA-D525TUD NM10 Int. DDR3-800 SDRAM 6-6-6-15 CR2 64 KRay/s Celeron D 326 2533 MHz ASRock 775Twins-HDTV RC410 Ext. DDR2-533 SDRAM 4-4-4-11 CR2 62 KRay/s Opteron 248 2200 MHz MSI K8T Master1-FAR K8T800 Dual DDR266R 2-3-3-6 CR1 59 KRay/s Nano L2200 1600 MHz VIA VB8001 CN896 Int. DDR2-667 SDRAM 5-5-5-15 CR2 56 KRay/s Athlon64 3200+ 2000 MHz ASRock 939S56-M SiS756 Dual DDR400 2.5-3-3-8 CR2 54 KRay/s 2x Atom D2500 1866 MHz Intel D2500CC NM10 Int. DDR3-1066 SDRAM 7-7-7-20 CR2 46 KRay/s Sempron 2600+ 1600 MHz ASRock K8NF4G-SATA2 GeForce6100 Int. DDR400 SDRAM 2.5-3-3-8 CR2 43 KRay/s Atom 230 HT 1600 MHz Intel D945GCLF i945GC Int. DDR2-533 SDRAM 4-4-4-12 28 KRay/s --------[ Debug - PCI ]------------------------------------------------------------------------------------------------- B00 D00 F00: Intel Haswell-ULT - Host Bridge/DRAM Controller Offset 000: 86 80 04 0A 06 00 90 20 0B 00 00 06 00 00 00 00 Offset 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 E0 00 00 00 00 00 00 00 00 00 00 00 Offset 040: 01 90 D1 FE 00 00 00 00 01 00 D1 FE 00 00 00 00 Offset 050: 09 02 00 00 11 00 00 00 17 00 90 9F 01 00 00 9D Offset 060: 01 00 00 E0 00 00 00 00 01 80 D1 FE 00 00 00 00 Offset 070: 00 00 00 FF 01 00 00 00 00 0C 00 FF 7F 00 00 00 Offset 080: 30 11 11 11 11 33 33 00 1A 00 00 00 00 00 00 00 Offset 090: 01 00 00 FF 01 00 00 00 01 00 50 5F 02 00 00 00 Offset 0A0: 01 00 00 00 02 00 00 00 01 00 60 5F 02 00 00 00 Offset 0B0: 01 00 A0 9D 01 00 80 9D 01 00 00 9D 01 00 A0 9F Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FF Offset 0E0: 09 00 0C 01 B9 41 80 72 D0 00 5B 14 00 00 00 00 Offset 0F0: 00 00 00 01 C8 0F 01 00 00 00 00 00 00 00 00 00 B00 D02 F00: Intel Haswell-ULT GT2 - Integrated Graphics Controller Offset 000: 86 80 16 0A 07 04 90 00 0B 00 00 03 00 00 00 00 Offset 010: 04 00 00 B3 00 00 00 00 0C 00 00 C0 00 00 00 00 Offset 020: 01 50 00 00 00 00 00 00 00 00 00 00 25 10 1C 09 Offset 030: 00 00 00 00 90 00 00 00 00 00 00 00 00 01 00 00 Offset 040: 09 00 0C 01 B9 41 80 72 D0 00 5B 14 00 00 00 00 Offset 050: 09 02 00 00 11 00 00 00 00 00 00 00 01 00 A0 9D Offset 060: 00 00 02 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 090: 05 D0 01 00 0C F0 E0 FE 61 49 00 00 00 00 00 00 Offset 0A0: 00 00 00 00 13 00 06 03 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 01 A4 22 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 80 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 00 00 0B 00 18 30 FB 9C B00 D14 F00: Intel Lynx Point-LP PCH - USB 3.0 xHCI Host Controller [B2] Offset 000: 86 80 31 9C 06 04 90 02 04 30 03 0C 00 00 00 00 Offset 010: 04 00 70 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 70 00 00 00 00 00 00 00 00 01 00 00 Offset 040: FD 01 36 80 89 C6 0F 80 00 00 00 00 00 00 00 00 Offset 050: 5F 2E CE 0F 00 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 30 20 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 01 80 C2 C1 08 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 05 00 87 00 0C F0 E0 FE 00 00 00 00 B2 49 00 00 Offset 090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0A0: 00 01 04 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 0F 00 03 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 03 C0 30 00 00 00 00 00 03 00 00 00 00 00 00 00 Offset 0D0: 07 00 00 00 FF 01 00 00 07 00 00 00 0F 00 00 00 Offset 0E0: 00 08 00 00 00 00 00 00 00 00 00 00 D8 D8 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 B1 0F 05 08 00 00 00 00 B00 D16 F00: Intel Lynx Point-LP PCH - Host Embedded Controller Interface 1 (HECI1) [B2] Offset 000: 86 80 3A 9C 06 04 10 00 04 00 80 07 00 00 80 00 Offset 010: 04 80 71 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 50 00 00 00 00 00 00 00 00 01 00 00 Offset 040: 45 02 00 1E 10 00 01 80 06 23 00 60 F0 1F 00 10 Offset 050: 01 8C 03 C8 08 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 00 02 00 00 00 44 00 00 00 00 00 00 10 00 00 40 Offset 070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 00 00 00 00 00 00 00 00 00 00 00 00 05 00 81 00 Offset 090: 0C F0 E0 FE 00 00 00 00 A2 49 00 00 00 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 02 00 00 C0 Offset 0C0: 9D 88 CE FC 41 B1 0C 6F B8 91 7F AF 91 D1 85 DE Offset 0D0: 2E F2 35 F0 5E EC 02 94 C6 38 81 D6 09 40 79 2B Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 B00 D1B F00: Intel Lynx Point-LP PCH - High Definition Audio Controller [B2] Offset 000: 86 80 20 9C 06 00 10 00 04 00 03 04 10 00 00 00 Offset 010: 04 40 71 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 50 00 00 00 00 00 00 00 16 01 00 00 Offset 040: 03 00 04 7F 00 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 01 60 43 C8 08 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 05 70 80 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 10 00 91 00 00 00 00 10 00 08 10 00 00 00 00 00 Offset 080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 04 02 01 00 60 00 01 00 0C 85 82 10 00 33 02 Offset 0D0: 00 0C 85 02 10 00 33 02 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 B1 0F 05 08 00 00 00 00 B00 D1C F00: Intel Lynx Point-LP PCH - PCI Express Root Port 3 [B2] Offset 000: 86 80 14 9C 07 04 10 00 E4 00 04 06 10 00 81 00 Offset 010: 00 00 00 00 00 00 00 00 00 01 01 00 40 40 00 20 Offset 020: 60 B3 60 B3 41 B3 41 B3 00 00 00 00 00 00 00 00 Offset 030: 00 00 00 00 40 00 00 00 00 00 00 00 00 03 00 00 Offset 040: 10 80 42 01 00 80 00 00 00 00 10 00 12 3C 32 03 Offset 050: 42 00 11 70 00 B2 14 00 00 00 40 00 08 00 00 00 Offset 060: 00 00 00 00 17 08 00 00 00 04 00 00 00 00 00 00 Offset 070: 02 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 05 90 01 00 0C F0 E0 FE 60 49 00 00 00 00 00 00 Offset 090: 0D A0 00 00 25 10 1B 09 00 00 00 00 00 00 00 00 Offset 0A0: 01 00 03 C8 08 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 01 42 18 00 00 08 80 11 0B 00 00 00 00 Offset 0E0: 00 03 40 00 3C 08 3C 08 15 00 00 00 00 00 00 00 Offset 0F0: 50 00 00 00 40 00 00 0C B1 0F 05 08 04 00 00 00 B00 D1C F03: Intel Lynx Point-LP PCH - PCI Express Root Port 4 [B2] Offset 000: 86 80 16 9C 06 04 10 00 E4 00 04 06 10 00 81 00 Offset 010: 00 00 00 00 00 00 00 00 00 02 02 00 F0 00 00 20 Offset 020: 50 B3 50 B3 F1 FF 01 00 00 00 00 00 00 00 00 00 Offset 030: 00 00 00 00 40 00 00 00 00 00 00 00 00 04 00 00 Offset 040: 10 80 42 01 00 80 00 00 00 00 10 00 12 3C 32 04 Offset 050: 43 00 11 70 00 B2 1C 00 00 00 40 00 08 00 00 00 Offset 060: 00 00 00 00 17 08 00 00 00 04 00 00 00 00 00 00 Offset 070: 02 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 05 90 01 00 0C F0 E0 FE 50 49 00 00 00 00 00 00 Offset 090: 0D A0 00 00 25 10 1B 09 00 00 00 00 00 00 00 00 Offset 0A0: 01 00 03 C8 08 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 01 42 18 00 00 08 80 11 0B 00 00 00 00 Offset 0E0: 00 03 40 00 00 00 00 00 0B 00 00 00 00 00 00 00 Offset 0F0: 50 00 00 00 40 00 00 0C B1 0F 05 08 04 00 00 00 B00 D1C F04: Intel Lynx Point-LP PCH - PCI Express Root Port 5 [B2] Offset 000: 86 80 18 9C 07 04 10 00 E4 00 04 06 10 00 81 00 Offset 010: 00 00 00 00 00 00 00 00 00 03 03 00 30 30 00 20 Offset 020: 00 B2 F0 B2 01 A0 F1 B1 00 00 00 00 00 00 00 00 Offset 030: 00 00 00 00 40 00 00 00 00 00 00 00 00 01 00 00 Offset 040: 10 80 42 01 00 80 00 00 00 00 11 00 42 3C 32 05 Offset 050: 43 00 41 F0 00 FD 24 00 00 00 48 01 08 00 00 00 Offset 060: 00 00 00 00 17 08 00 00 00 04 00 00 00 00 00 00 Offset 070: 02 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 05 90 01 00 0C F0 E0 FE B1 49 00 00 00 00 00 00 Offset 090: 0D A0 00 00 25 10 1B 09 00 00 00 00 00 00 00 00 Offset 0A0: 01 00 03 C8 08 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 01 42 18 00 00 08 80 11 8B 00 00 00 00 Offset 0E0: 00 3F 40 00 64 88 64 88 1B 00 00 00 00 00 00 00 Offset 0F0: 50 00 00 00 40 00 00 00 B1 0F 05 08 04 C0 00 00 B00 D1D F00: Intel Lynx Point-LP PCH - USB 2.0 EHCI Host Controller 1 [B2] Offset 000: 86 80 26 9C 06 00 90 02 04 20 03 0C 00 00 00 00 Offset 010: 00 C0 71 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 50 00 00 00 00 00 00 00 17 01 00 00 Offset 040: 00 00 00 00 DB 05 D3 04 00 00 00 00 00 00 00 00 Offset 050: 01 58 C3 C9 08 00 00 00 0A 98 A0 20 00 00 00 00 Offset 060: 20 20 01 06 00 00 00 00 01 00 00 01 00 20 00 C0 Offset 070: 00 00 FF 3F 03 C0 30 00 4C 01 00 00 8C 40 00 00 Offset 080: 00 00 80 00 11 08 0C 11 00 0C 00 24 00 04 02 00 Offset 090: 00 00 00 00 00 00 00 00 13 00 06 03 00 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 AA FF 00 00 00 FF FF 27 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 84 60 89 9C Offset 0F0: 00 00 00 00 88 85 80 00 B1 0F 05 08 08 17 12 20 B00 D1F F00: Intel Lynx Point-LP PCH - LPC Controller (Premium) [B2] Offset 000: 86 80 43 9C 07 00 10 02 04 00 01 06 00 00 80 00 Offset 010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 E0 00 00 00 00 00 00 00 00 00 00 00 Offset 040: 01 18 00 00 80 00 00 00 01 08 00 00 10 00 00 00 Offset 050: F8 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 87 80 8B 8A 90 00 00 00 80 80 8A 8B F8 F0 00 00 Offset 070: 78 F0 78 F0 78 F0 78 F0 78 F0 78 F0 78 F0 78 F0 Offset 080: 10 00 01 3F 69 00 04 00 81 02 04 00 00 00 00 00 Offset 090: 00 00 00 00 00 0F 00 00 01 00 80 FE 00 00 00 00 Offset 0A0: F4 1E A0 58 09 38 06 00 00 46 00 00 00 00 01 80 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 33 22 11 00 67 45 00 00 CF FF 00 00 02 00 00 00 Offset 0E0: 09 00 0C 10 08 00 00 00 00 18 06 00 00 00 00 00 Offset 0F0: 01 C0 D1 FE 00 00 00 00 B1 0F 05 08 00 00 00 00 B00 D1F F02: Intel Lynx Point-LP PCH - SATA AHCI Controller [B2] Offset 000: 86 80 03 9C 07 04 B0 02 04 01 06 01 00 00 00 00 Offset 010: 89 50 00 00 95 50 00 00 81 50 00 00 91 50 00 00 Offset 020: 61 50 00 00 00 B0 71 B3 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 80 00 00 00 00 00 00 00 00 02 00 00 Offset 040: 00 80 00 80 00 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 01 A8 03 40 08 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 05 70 01 00 0C F0 E0 FE A1 49 00 00 00 00 00 00 Offset 090: 60 0E 01 81 83 01 00 0E 20 02 DC 21 20 00 00 80 Offset 0A0: A4 00 00 00 00 00 00 00 12 00 10 00 48 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 B1 0F 05 08 00 00 00 00 B00 D1F F03: Intel Lynx Point-LP PCH - SMBus Controller [B2] Offset 000: 86 80 22 9C 03 00 80 02 04 00 05 0C 00 00 00 00 Offset 010: 04 90 71 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 41 50 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 00 00 00 00 00 00 00 00 12 03 00 00 Offset 040: 11 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 03 04 04 00 00 00 08 08 00 00 00 00 00 00 00 00 Offset 070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 B1 0F 05 08 00 00 00 00 B00 D1F F06: Intel Lynx Point-LP PCH - Thermal Controller [B2] Offset 000: 86 80 24 9C 02 00 10 00 04 00 80 11 00 00 00 00 Offset 010: 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 25 10 1B 09 Offset 030: 00 00 00 00 50 00 00 00 00 00 00 00 00 03 00 00 Offset 040: 05 00 A2 9F 00 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 01 80 23 00 08 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 080: 05 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 B1 0F 05 08 00 00 00 00 B01 D00 F00: Realtek RTL8168/8111 PCI-E Gigabit Ethernet Adapter Offset 000: EC 10 68 81 07 04 10 00 0C 00 00 02 10 00 00 00 Offset 010: 01 40 00 00 00 00 00 00 04 00 60 B3 00 00 00 00 Offset 020: 0C 00 40 B3 00 00 00 00 00 00 00 00 EC 10 23 01 Offset 030: 00 00 00 00 40 00 00 00 00 00 00 00 00 01 00 00 Offset 040: 01 50 C3 FF 08 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 05 70 80 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 10 B0 02 02 C0 8C 90 05 17 50 19 00 11 7C 47 00 Offset 080: 42 01 11 10 00 00 00 00 00 00 00 00 00 00 00 00 Offset 090: 00 00 00 00 1F 08 0C 00 10 04 00 00 02 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 11 D0 03 80 04 00 00 00 04 08 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 B02 D00 F00: Atheros AR5BWB222 Wireless Network Adapter Offset 000: 8C 16 34 00 46 01 10 00 01 00 80 02 10 00 00 00 Offset 010: 04 00 50 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 020: 00 00 00 00 00 00 00 00 00 00 00 00 5B 10 7D E0 Offset 030: 00 00 00 00 40 00 00 00 00 00 00 00 13 01 00 00 Offset 040: 01 50 C2 FF 00 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 05 70 84 01 00 00 00 00 00 00 00 00 00 00 00 00 Offset 060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 070: 10 00 02 00 C0 8D 90 05 17 20 19 00 11 6C 03 00 Offset 080: 43 00 11 10 00 00 00 00 00 00 00 00 00 00 00 00 Offset 090: 00 00 00 00 10 00 00 00 00 00 00 00 02 00 00 00 Offset 0A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 B03 D00 F00: nVIDIA GeForce GTX 850M (Acer) Video Adapter Offset 000: DE 10 91 13 06 00 10 00 A2 00 02 03 10 00 00 00 Offset 010: 00 00 00 B2 0C 00 00 A0 00 00 00 00 0C 00 00 B0 Offset 020: 00 00 00 00 01 00 00 00 00 00 00 00 25 10 1C 09 Offset 030: 00 00 00 00 60 00 00 00 00 00 00 00 00 01 00 00 Offset 040: 25 10 1C 09 00 00 00 00 00 00 00 00 00 00 00 00 Offset 050: 01 00 00 00 01 00 00 00 CE D6 23 00 00 00 00 00 Offset 060: 01 68 03 00 08 00 00 00 05 78 81 00 0C F0 E0 FE Offset 070: 00 00 00 00 71 49 00 00 10 00 02 00 E1 8D E8 07 Offset 080: 10 29 00 00 02 BD 47 00 43 01 41 10 00 00 00 00 Offset 090: 00 00 00 00 00 00 00 00 00 00 00 00 13 08 04 00 Offset 0A0: 00 04 00 00 06 00 00 00 02 00 00 00 00 00 00 00 Offset 0B0: 00 00 00 00 09 00 14 01 00 00 00 00 00 00 00 00 Offset 0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 4000: 6B 71 86 15 84 41 33 08 14 11 EF B0 54 DD 5A 0B Offset 4010: 07 10 00 00 0B D5 00 00 00 00 00 00 00 00 00 00 Offset 4020: 00 20 10 00 27 00 00 00 00 00 17 00 00 00 00 00 Offset 4030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4040: 49 C0 00 00 00 00 00 00 56 34 12 00 EF CD AB 00 Offset 4050: 43 65 87 00 56 34 12 00 EF CD AB 00 43 65 87 00 Offset 4060: 56 34 12 00 EF CD AB 00 43 65 87 00 56 34 12 00 Offset 4070: EF CD AB 00 43 65 87 00 00 01 01 01 00 00 00 00 Offset 4080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 4200: 00 00 3F 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4210: 00 00 00 00 00 00 00 00 00 00 00 00 03 03 03 03 Offset 4220: 10 02 21 20 10 02 21 64 00 00 00 00 00 00 00 00 Offset 4230: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4240: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4250: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4260: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4270: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4280: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4290: 80 00 01 00 FF 98 00 00 60 18 D0 6C 58 04 00 00 Offset 42A0: 01 00 00 00 00 82 00 41 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 4400: 6B 71 86 15 84 41 33 08 14 11 EF B0 54 DD 5A 0B Offset 4410: 07 10 00 00 0B D5 00 00 00 00 00 00 00 00 00 00 Offset 4420: 00 20 10 00 27 00 00 00 00 00 17 00 00 00 00 00 Offset 4430: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4440: 49 C0 00 00 00 00 00 00 56 34 12 00 EF CD AB 00 Offset 4450: 43 65 87 00 56 34 12 00 EF CD AB 00 43 65 87 00 Offset 4460: 56 34 12 00 EF CD AB 00 43 65 87 00 56 34 12 00 Offset 4470: EF CD AB 00 43 65 87 00 00 01 01 01 00 00 00 00 Offset 4480: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 4600: 00 00 3F 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4610: 00 00 00 00 00 00 00 00 00 00 00 00 03 03 03 03 Offset 4620: 10 02 21 20 10 02 21 64 00 00 00 00 00 00 00 00 Offset 4630: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4640: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4650: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4660: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4670: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4680: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4690: 80 00 01 00 FF 98 00 00 60 18 D0 6C 58 04 00 00 Offset 46A0: 01 00 00 00 00 82 00 41 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 4800: 00 00 00 00 00 00 03 00 00 00 00 08 00 00 00 08 Offset 4810: 00 00 00 08 00 00 00 08 00 00 00 08 00 00 00 08 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 4A80: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 4A90: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 5000: 24 00 00 00 10 00 60 00 10 00 60 00 00 00 60 00 Offset 5010: 00 00 00 00 00 00 20 10 00 00 00 00 00 00 00 40 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 5880: 60 00 00 00 04 00 00 00 0B 0B 00 00 00 00 00 00 Offset 5890: FF FF 00 00 FF FF 00 00 FF FF 00 00 FF FF 00 00 Offset 58A0: 00 00 00 00 01 00 00 00 DD 16 00 00 00 00 00 00 Offset 58B0: 00 00 00 00 00 00 00 00 00 00 00 00 7F 00 00 00 Offset 58C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 58D0: FF FF 00 00 FF FF 00 00 FF FF 00 00 FF FF 00 00 Offset 58E0: 00 00 00 00 DE 00 54 00 1A 7E FF 0C 00 00 00 00 Offset 58F0: 28 00 00 00 00 00 00 00 00 00 00 00 00 10 00 10 Offset 5900: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 5910: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 5920: 09 00 00 00 0D 00 00 00 31 CD BD 36 03 93 35 01 Offset 5930: 78 00 00 00 00 00 00 00 03 0E 0A 00 AC 54 EA 5F Offset 5940: 02 45 F9 38 22 E5 B2 01 00 0C 00 00 00 00 00 00 Offset 5950: 00 00 00 00 00 00 18 00 00 18 01 F3 2D 08 08 00 Offset 5960: 80 B0 DA 9A BC 1A E2 0F 94 03 F4 02 93 7E BE E1 Offset 5970: 20 FE 52 5E 84 14 F6 0C 4A 00 00 00 4A 00 00 00 Offset 5980: 42 00 00 00 22 90 68 35 00 00 00 00 00 00 00 00 Offset 5990: FF 00 00 00 FF 00 00 00 14 04 04 00 00 00 64 03 Offset 59A0: E0 80 DD 00 18 81 42 00 00 00 00 00 00 00 00 00 Offset 59B0: 00 01 00 00 14 14 10 40 19 29 00 19 00 00 00 00 Offset 59C0: 00 08 22 88 00 00 00 00 00 00 00 00 00 00 00 00 PCI-8086-0A04: Intel SNB/IVB/HSW/CRW/BDW/SKL/KBL/CFL/WHL/CNL/CML/ICL/RKL/TGL/JSL MCHBAR Offset 5E00: 06 00 00 00 06 00 00 00 00 00 00 00 00 00 00 00 Offset 5E10: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PCI-8086-9C24: Intel 8/9-series PCH TBAR Offset 00: E3 00 00 00 01 00 10 00 01 00 81 00 00 00 00 00 Offset 10: 4A 01 00 00 00 00 00 00 00 00 00 00 C8 C8 00 00 Offset 20: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 30: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 40: 26 C1 A4 B3 00 00 00 00 00 00 00 00 00 00 00 00 Offset 50: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 60: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 70: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Offset 80: 01 00 00 00 --------[ Debug - Video BIOS ]------------------------------------------------------------------------------------------ C000:0000 U.|...000000000000~-..,3@.`.00IBM VGA Compatible BIOS. ...*.8... C000:0040 PCIR................................&...........&............... C000:0080 ".....&.+.6.......>.....".2.;.....*.:.....-.=...@.A.B.C.D.E.F.G. C000:00C0 H.I.J.K.L.M.N.O.P.Q.R.S.T.U.V.W.X.Y.Z.[.\.].^._.@.A.C.E.G....... C000:0100 ........................................4....................... C000:0140 ...................................DH.....DH.....DH....0DH.....D C000:0180 I.....DI.....DJ.....DJ....0DJ.....DI....0DI.....DJ.....DK.....DK C000:01C0 .....DK....0.L......L......L....0.L......M......M.....0....2.... C000:0200 4.8..8.\..:....<....A....C....E.8..I.\..K....M....P ...R ...T 8. C000:0240 .X \..Z ...\ ...`.F..a.F..b F..c.`..d.`..e `..f.z..g.z..h z..i.. C000:0280 ..j....k ...l....m....n ...o....p....q ...}.8..~.8.. 8....... . C000:02C0 -..`............ .1..l...........rQ.. n(U...!....... ....`"..... C000:0300 ...... ....@.......... .1X. (.........V. .1X. .P........d..@A.&0 C000:0340 ..6.......... A. 0.`........0*..Q.*@0p.........4..Q.*@.......... C000:0380 H?@0b.2@@.........h[..r.