Remove From My Forums

Windows安全审核日志问题请教！

问题
0

登录进行投票

尊敬的微软工程师，

我想知道一个本地管理员组的用户

使用CMD程序时以管理员身份运行时安全审计中的日志ID

使用Powershell程序时以管理员身份运行时安全审计中的日志ID

谷青松

2019年1月2日 8:39

回复

|

引用

答案

0

登录进行投票
您好，

感谢您的发帖。

根据我的测试，当我们使用管理员身份运行CMD的时候，可以在事件查看器中看到事件4611和4688.

4611是【已经将一条收信人的登陆进程注册到本地安全机构】。

4688是【已创建新进程】。

当我们使用管理员身份运行power shell的时候，有事件4673和4688.

4673是【已调用特权服务】。

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案谷青松 2019年1月3日 2:40
2019年1月3日 2:21

回复

|

引用

版主

全部回复

0

登录进行投票
您好，

感谢您的发帖。

根据我的测试，当我们使用管理员身份运行CMD的时候，可以在事件查看器中看到事件4611和4688.

4611是【已经将一条收信人的登陆进程注册到本地安全机构】。

4688是【已创建新进程】。

当我们使用管理员身份运行power shell的时候，有事件4673和4688.

4673是【已调用特权服务】。

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案谷青松 2019年1月3日 2:40
2019年1月3日 2:21

回复

|

引用

版主
0

登录进行投票
我测试中发现4688有的，但是4611和4673并没有看到，是否是我安全审核开启的不对，烦请告知，谢谢！

谷青松
- 已编辑谷青松 2019年1月3日 2:39 补充
2019年1月3日 2:39

回复

|

引用
0

登录进行投票

您好，

4673事件对应的审核策略是审核特权使用。高级审核策略中是审核非敏感权限使用和审核敏感权限使用。

4611事件对应的审核策略是审核系统事件。高级审核策略中是审核安全系统扩展。

相关审核策略和对应的事件ID我们可以参考这个链接：

https://girl-germs.com/?p=363

请注意：由于该网站不是由Microsoft托管，因此链接可能会更改，恕不另行通知。Microsoft不保证此信息的准确性。

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2019年1月3日 3:04

回复

|

引用

版主
0

登录进行投票

好谢谢你的支持！
谷青松

2019年1月4日 5:33

回复

|

引用

积极答复者

Windows安全审核日志问题请教！

问题

答案

全部回复