Цитата Vadikan:
|
Попробуйте отключить службу панели управления Intel в msconfig »
|
Спасибо, что откликнулись! Провел данный эксперимент, отключив службу.
Какого же было мое удивление, обнаружив повторный разлогин! Хотя все сообщения от данной службы пропали.. Разлогин, судя по всему, произошел в 2.13, потому что последняя метка времени была в 2.11. Вот события, которые я нашел в журнале.
Журнал "Приложение"
Код:
Имя журнала: Application
Источник: Microsoft-Windows-Winlogon
Дата: 29.04.2020 2:13:28
Код события: 6000
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <WSearch>.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
<EventID Qualifiers="32768">6000</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2020-04-28T21:13:28.484169400Z" />
<EventRecordID>153495</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>DELL-290.asc-ural.ru</Computer>
<Security />
</System>
<EventData>
<Data>WSearch</Data>
<Binary>D9060000</Binary>
</EventData>
</Event>
Журнал "Безопасность"
Код:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4647
Категория задачи:Logoff
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:
Субъект:
ИД безопасности: ASC\Rusin
Имя учетной записи: rusin
Домен учетной записи: ASC
Код входа: 0xA1758
Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4647</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-04-28T21:13:28.453823000Z" />
<EventRecordID>558452</EventRecordID>
<Correlation ActivityID="{2afc6937-1d18-0001-d069-fc2a181dd601}" />
<Execution ProcessID="1036" ThreadID="3308" />
<Channel>Security</Channel>
<Computer>DELL-290.asc-ural.ru</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
<Data Name="TargetUserName">rusin</Data>
<Data Name="TargetDomainName">ASC</Data>
<Data Name="TargetLogonId">0xa1758</Data>
</EventData>
</Event>
Журнал "Система"
Код:
Имя журнала: System
Источник: Microsoft-Windows-GroupPolicy
Дата: 29.04.2020 2:13:15
Код события: 1501
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:
Пользователь: ASC\Rusin
Компьютер: DELL-290.asc-ural.ru
Описание:
Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
<EventID>1501</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>1</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2020-04-28T21:13:15.189604200Z" />
<EventRecordID>76938</EventRecordID>
<Correlation ActivityID="{667954fe-f925-4fa6-8a47-6a8e11eaf7b9}" />
<Execution ProcessID="19676" ThreadID="7156" />
<Channel>System</Channel>
<Computer>DELL-290.asc-ural.ru</Computer>
<Security UserID="S-1-5-21-1374063435-2977678452-1069116982-5136" />
</System>
<EventData>
<Data Name="SupportInfo1">1</Data>
<Data Name="SupportInfo2">4232</Data>
<Data Name="ProcessingMode">0</Data>
<Data Name="ProcessingTimeInMilliseconds">687</Data>
<Data Name="DCName">\\WS1.asc-ural.ru</Data>
</EventData>
</Event>
Код:
Имя журнала: System
Источник: Microsoft-Windows-Winlogon
Дата: 29.04.2020 2:13:28
Код события: 7002
Категория задачи:(1102)
Уровень: Сведения
Ключевые слова:(35184372088832)
Пользователь: СИСТЕМА
Компьютер: DELL-290.asc-ural.ru
Описание:
Уведомление о выходе пользователя для программы улучшения качества ПО
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{dbe9b383-7cf3-4331-91cc-a3cb16a3b538}" />
<EventID>7002</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>1102</Task>
<Opcode>0</Opcode>
<Keywords>0x2000200000000000</Keywords>
<TimeCreated SystemTime="2020-04-28T21:13:28.524458400Z" />
<EventRecordID>76939</EventRecordID>
<Correlation />
<Execution ProcessID="1128" ThreadID="1556" />
<Channel>System</Channel>
<Computer>DELL-290.asc-ural.ru</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="TSId">1</Data>
<Data Name="UserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
</EventData>
</Event>
Вообще журнал "Безопасность" очень странно выглядит в моменты простоя. Постоянно сыпятся сообщения logon и logoff. Вот как все это было перед разлогином:
Код:
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 5061
Категория задачи:System Integrity
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Операция шифрования.
Предмет:
Идентификатор безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
Идентификатор входа в систему: 0x3E7
Криптографические параметры:
Имя поставщика: Microsoft Software Key Storage Provider
Имя алгоритма: RSA
Имя ключа: localhost-fa36cc09-63dd-4b63-8e91-cf7bf032100f
Тип ключа: Ключ компьютера.
Операция шифрования:
Операция: Открыть ключ.
Код возврата: 0x0
______________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4798
Категория задачи:User Account Management
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.
Subject:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Пользователь:
ИД безопасности: DELL-290\Гость
Имя учетной записи: Гость
Домен учетной записи: DELL-290
Сведения о процессе:
ИД процесса: 0xb30
Имя процесса: C:\Windows\System32\svchost.exe
___________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4798
Категория задачи:User Account Management
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.
Subject:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Пользователь:
ИД безопасности: DELL-290\Администратор
Имя учетной записи: Администратор
Домен учетной записи: DELL-290
Сведения о процессе:
ИД процесса: 0xb30
Имя процесса: C:\Windows\System32\svchost.exe
_______________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4798
Категория задачи:User Account Management
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.
Subject:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Пользователь:
ИД безопасности: DELL-290\WDAGUtilityAccount
Имя учетной записи: WDAGUtilityAccount
Домен учетной записи: DELL-290
Сведения о процессе:
ИД процесса: 0xb30
Имя процесса: C:\Windows\System32\svchost.exe
________________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4798
Категория задачи:User Account Management
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.
Subject:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Пользователь:
ИД безопасности: DELL-290\User
Имя учетной записи: User
Домен учетной записи: DELL-290
Сведения о процессе:
ИД процесса: 0xb30
Имя процесса: C:\Windows\System32\svchost.exe
_____________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4798
Категория задачи:User Account Management
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.
Subject:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Пользователь:
ИД безопасности: DELL-290\KlNagSvc
Имя учетной записи: KlNagSvc
Домен учетной записи: DELL-290
Сведения о процессе:
ИД процесса: 0xb30
Имя процесса: C:\Windows\System32\svchost.exe
________________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4798
Категория задачи:User Account Management
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.
Subject:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Пользователь:
ИД безопасности: DELL-290\DefaultAccount
Имя учетной записи: DefaultAccount
Домен учетной записи: DELL-290
Сведения о процессе:
ИД процесса: 0xb30
Имя процесса: C:\Windows\System32\svchost.exe
_________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:28
Код события: 4647
Категория задачи:Logoff
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:
Субъект:
ИД безопасности: ASC\Rusin
Имя учетной записи: rusin
Домен учетной записи: ASC
Код входа: 0xA1758
Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
_________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:27
Код события: 4672
Категория задачи:Special Logon
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
________________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:27
Код события: 4624
Категория задачи:Logon
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Сведения о входе:
Тип входа: 5
Ограниченный режим администрирования: -
Виртуальная учетная запись: Нет
Расширенный маркер: Да
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
ИД входа: 0x3E7
Связанный ИД входа: 0x0
Сетевое имя учетной записи: -
Сетевой домен учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
ИД процесса: 0x404
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Подробные сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
_________________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:26
Код события: 4672
Категория задачи:Special Logon
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
______________________________________________________________
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 29.04.2020 2:13:26
Код события: 4624
Категория задачи:Logon
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: DELL-290.asc-ural.ru
Описание:
Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: DELL-290$
Домен учетной записи: ASC
ИД входа: 0x3E7
Сведения о входе:
Тип входа: 5
Ограниченный режим администрирования: -
Виртуальная учетная запись: Нет
Расширенный маркер: Да
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: СИСТЕМА
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
ИД входа: 0x3E7
Связанный ИД входа: 0x0
Сетевое имя учетной записи: -
Сетевой домен учетной записи: -
GUID входа: {00000000-0000-0000-0000-000000000000}
Сведения о процессе:
ИД процесса: 0x404
Имя процесса: C:\Windows\System32\services.exe
Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: -
Порт источника: -
Подробные сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.
Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
