Autor
Hola:
No entiendo mucho de informática por eso recurro a este Foro
En W11 se me están generando eventos continuamente del tipo 4672:
Se asignaron privilegios especiales a un nuevo inicio de sesión.
Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: SYSTEM
Dominio de cuenta: NT AUTHORITY
Id. de inicio de sesión: 0x3E7
Privilegios: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Al mismo tiempo que el evento 4624
Se inició sesión correctamente en una cuenta.
Firmante:
Id. de seguridad: SYSTEM
Nombre de cuenta: MINIPC$
Dominio de cuenta: WORKGROUP
Id. de inicio de sesión: 0x3E7
Información de inicio de sesión:
Tipo de inicio de sesión: 5
Modo de administrador restringido: -
Credential Guard remota: -
Cuenta virtual: No
Token elevado: Sí
Nivel de suplantación: Suplantación
Nuevo inicio de sesión:
Id. de seguridad: SYSTEM
Nombre de cuenta: SYSTEM
Dominio de cuenta: NT AUTHORITY
Id. de inicio de sesión: 0x3E7
Inicio de sesión vinculado: 0x0
Nombre de cuenta de red: -
Dominio de cuenta de red: -
GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}
Información de proceso:
Id. de proceso: 0x488
Nombre de proceso: C:\Windows\System32\services.exe
Información de red:
Nombre de estación de trabajo: -
Dirección de red de origen: -
Puerto de origen: -
Información de autenticación detallada:
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (solo NTLM): -
Longitud de clave: 0
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.
El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).
Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.
El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.
Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
- GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
- Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
- Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
- Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
Además por cada uno de ellos, y es continuamente me salta una notificación.....
He leído por algún sitio que son normales esos eventos....
¿quién se conecta o qué se conecta?
No me había pasado nunca
Muchas gracias
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
En línea
