K✔
Size: a a a
2020 October 03
K✔
а удачные выходы что в лог пишут?
Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: KW-PC$
Домен учетной записи: WORKGROUP
ИД входа: 0x3E7
Сведения о входе:
Тип входа: 5
Ограниченный режим администрирования: -
Виртуальная учетная запись: Нет
Расширенный маркер: Да
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
ИД входа: 0x3E7
Связанный ИД входа: 0x0
Сетевое имя учетной записи: -
Сетевой домен учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
ИД процесса: 0x33c
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Подробные сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
K✔
"Уровень олицетворения"... прям как "Редкая загрузка Windows", "Легендарная загрузка Windows", ха-ха-хах!
KZ
Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: KW-PC$
Домен учетной записи: WORKGROUP
ИД входа: 0x3E7
Сведения о входе:
Тип входа: 5
Ограниченный режим администрирования: -
Виртуальная учетная запись: Нет
Расширенный маркер: Да
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
ИД входа: 0x3E7
Связанный ИД входа: 0x0
Сетевое имя учетной записи: -
Сетевой домен учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
ИД процесса: 0x33c
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Подробные сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
эт не то. это локально служба что то делала, тип входа должен быть 3
KZ
"Уровень олицетворения"... прям как "Редкая загрузка Windows", "Легендарная загрузка Windows", ха-ха-хах!
😂
VG
чудеса...тогда смотри логи безопасности, че ему не нравится
никаких чудес :D
KZ
никаких чудес :D
а. ты знаешь в чем прикол? я вообще думал он ломится на другой адрес, но не угадал 😂
VG
ну вообще я удивлён что ты не знаешь :)
VG
по ип и по имени - разный алгоритм выбора аутентификации
KZ
по ип и по имени - разный алгоритм выбора аутентификации
че...впервые слышу если честно...а
VG
я точно уже не помню деталей, а спросонья не ищется нужное, но суть типа такой:
приорететен керберос, но если обращение идёт по ип - то по ип керберос работать не может и сразу идёт фаллбек на нтлм
приорететен керберос, но если обращение идёт по ип - то по ип керберос работать не может и сразу идёт фаллбек на нтлм
VG
поэтому когда я вижу что какой то недоадмин использует ипы для указания серверов - пизжу палкой по рукам :D
VG
вот объясните мне, в чем смысл? Запускаешь игрушку. Она запускается, показывает красивую картинку, интро какое то может. И "press [any key] to start". Нажимаешь кнопку, и вот теперь она начинает _загружаться_ блеать...
m
вот объясните мне, в чем смысл? Запускаешь игрушку. Она запускается, показывает красивую картинку, интро какое то может. И "press [any key] to start". Нажимаешь кнопку, и вот теперь она начинает _загружаться_ блеать...
штоб не расслаблялся
KZ
вот объясните мне, в чем смысл? Запускаешь игрушку. Она запускается, показывает красивую картинку, интро какое то может. И "press [any key] to start". Нажимаешь кнопку, и вот теперь она начинает _загружаться_ блеать...
картинка на внешнем двигле, а так, а вдрг ты не готов еще к игре?
VG
в смысле не готов? я её запустил чтобы играть. Это она не готова - потому что не загрузилась пока я отошел чаю сделать
VG
и причем тут двигло?
KZ
и причем тут двигло?
просто констатация. так то хз, исторически сложилось
мб там где то есть пункт, что нажимая страт ты соглашаешься с их офертой и тп
мб там где то есть пункт, что нажимая страт ты соглашаешься с их офертой и тп