已经将一条受信任的登录进程注册到本地安全机构。
将信任此登录进程提交登录请求。
主题:
安全 ID: SYSTEM
帐户名: FILES$
帐户域: SZCMAX
登录 ID: 0x3e7
已更改 Windows 筛选平台筛选器。
主题:
安全 ID: LOCAL SERVICE
帐户名称: NT AUTHORITY\LOCAL SERVICE
进程信息:
进程 ID: 1040
提供程序信息:
ID: {decc16ca-3f33-4346-be1e-8fb4ae0f3d62}
名称: Microsoft Corporation
更改信息:
更改类型: 删除
筛选器信息:
ID: {fb77ea4c-faa1-4e7a-a12f-f9429fd4f63b}
名称: Windows 备份(RPC-EPMAP)
类型: 非永久
运行时 ID: 73107
层信息:
ID: {a3b42c97-9f04-4672-b87e-cee9c483257f}
名称: ALE 接收/接受 v6 层
运行时 ID: 46
标注信息:
ID: {00000000-0000-0000-0000-000000000000}
名称: -
其他信息:
权重: 10376540038224674816
条件:
条件 ID: {d78e1e87-8644-4ea5-9437-d809ecefc971}
匹配值: 等于
条件值:
00000000 5c 00 64 00 65 00 76 00-69 00 63 00 65 00 5c 00 \.d.e.v.i.c.e.\.
00000010 68 00 61 00 72 00 64 00-64 00 69 00 73 00 6b 00 h.a.r.d.d.i.s.k.
00000020 76 00 6f 00 6c 00 75 00-6d 00 65 00 32 00 5c 00 v.o.l.u.m.e.2.\.
00000030 77 00 69 00 6e 00 64 00-6f 00 77 00 73 00 5c 00 w.i.n.d.o.w.s.\.
00000040 73 00 79 00 73 00 74 00-65 00 6d 00 33 00 32 00 s.y.s.t.e.m.3.2.
00000050 5c 00 73 00 76 00 63 00-68 00 6f 00 73 00 74 00 \.s.v.c.h.o.s.t.
00000060 2e 00 65 00 78 00 65 00-00 00 ..e.x.e...
条件 ID: {af043a0a-b34d-4f86-979c-c90371af6e66}
匹配值: 等于
条件值:
O:SYG:SYD:(A;;CCRC;;;S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080)
条件 ID: {0c1ba1af-5765-453f-af22-a8f791ac775b}
匹配值: 等于
条件值: 0x0251
条件 ID: {3971ef2b-623e-4f9a-8cb1-6e79b806b9a7}
匹配值: 等于
条件值: 0x06
出现大量审核成功信息事件ID 4611和5447
windows2008R2 事件ID4611和5447
