none
Logon id

Все ответы

  • А почему переместили вопрос?
  • Здравствуйте,

    Потому что вопрос оформлен так, что он подходит под данную ветку форума. Для получения ответа на вопрос лучше задавать его более расширенно - какая технология разработки, в каком продукте для разработки произходит ошибка, какая версия, какова финальная цель и т.д.


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    Модератор
  • С помощью компилятора Microsoft разрабатывает ПО на C#, C++, Asembler , встретились сообщения в журнале Windows Security, это одно из полей сообщений с номером 4634 4647, версия Windows 7, сборка 1607, а финальная цель увидеть связь между Logon Type Logon Id и Security Descriptor-для начала получить знания,потом их применить,зависит от знаний полученных. Переместите ,пожалуйста,сообщение туда где люди могут его увидеть. Интересно,а Вы зарплату за ответы получаете?
  • Здравствуйте Александр,

    Ваш вопрос никак не связан с разработкой ПО из того что вы написали на данный момент, задайте свой вопрос сюда: https://answers.microsoft.com/ru-ru/windows/forum/windows_7


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    Модератор
  • FYI, от того, что тему переместили в избу болтальную, вы много не потеряли. Мы обычно отслеживаем все разделы, так как форум маленький, да и новички постоянно постят не туда.

    Если вы про Код входа / SubjectLogonId в событиях аудита входа, то это произвольный идентификатор, присваиваемый сеансу входа, уникальный в пределах одного запуска системы (до перезагрузки). Он служит, чтобы выделить события, относящиеся к одному сеансу входа из общего потока событий в этом журнале (если параллельно было несколько попыток входа, чтобы понимать что к чему относится).  С SID он напрямую никак не связан. А "Тип входа", видимо, соответствует этому перечислению, например 2 - интерактивный, 5 - служба и т.п.

    Подробнее можете посмотреть в документации: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-logon 

  • Я вот не имею возможности попробовать, но будет ли SubjectLogonId  на моем ПК в журнале, соответствовать SubjectLogonId  учетным записям нескольких пользователей зашедших на мой пк удаленно в jсеансе с номером 0? И в разное время,без перезагрузки удаленного ПК.

    Что-то я так мыслю что SubjectLogonId  не есть Sessionid

    Какое обоснование было у программиста для выбора именно данной константы 0x3e7, все константы в Windows выбраны не случайно.
  • Это не константа, просто для служебного аккаунта SYSTEM почему-то всегда выбирается одно значение. Для "человеческих" учетных записей Logon ID каждый раз генерируется разный, по моим наблюдениям.

    Да, можно считать его "Session Id", в каком-то смысле, но он служит только для упрощения восприятия журнала событий. Никакой другой функции он не выполняет. Реальный идентификатор - это SubjectUserSid

     
  • Я вот вижу в журнале Windows сообщения в которых разные LogonId сочетаются с разными LogonType, от 0 до 11. Как и на основании чего(насколько надежен источник информации) я могу отличить легитимный трафик от нелигитимного?

    Событие 4624 

     Logon Type 11: CachedInteractive. Logon ID (0x0,0x3e7)  NT AUTHORITY\SYSTEM.

    События то стерты с напряжной записью о том,что служба событий остановила работу,после этого пусто все  в журнале .

    Мои записи остались,архивирование журнала было настроено - тоже стерто все, сильный аналог Back2Life получает события явно противоречащие моим записям и изучениям.




  • По вопросам выявления "нелигитимного" трафика лучше спросите на специализированных форумах по администрированию или компьютерной безопасности. Если события из журнала безопасности были стерты без вашего ведома то да, это несомненно подозрительно.

  • На английском лучше пишут. Посоветуйте ссылки