|
Título: Se generan eventos continuamente Publicado por: JotaPG en 11 Julio 2023, 20:05 pm Hola:
No entiendo mucho de informática por eso recurro a este Foro En W11 se me están generando eventos continuamente del tipo 4672: Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege Al mismo tiempo que el evento 4624 Se inició sesión correctamente en una cuenta. Firmante: Id. de seguridad: SYSTEM Nombre de cuenta: MINIPC$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7 Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Credential Guard remota: - Cuenta virtual: No Token elevado: Sí Nivel de suplantación: Suplantación Nuevo inicio de sesión: Id. de seguridad: SYSTEM Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x488 Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: - Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0 Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso. Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe. El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red). Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión. Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos. El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar. Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión. Además por cada uno de ellos, y es continuamente me salta una notificación..... He leído por algún sitio que son normales esos eventos.... ¿quién se conecta o qué se conecta? No me había pasado nunca Muchas gracias |