none
Windows安全审核日志问题请教! RRS feed

  • 问题

  • 尊敬的微软工程师,

    我想知道一个本地管理员组的用户

    使用CMD程序时以管理员身份运行时安全审计中的日志ID

    使用Powershell程序时以管理员身份运行时安全审计中的日志ID


    谷青松

    2019年1月2日 8:39

答案

  • 您好,

    感谢您的发帖。

    根据我的测试,当我们使用管理员身份运行CMD的时候,可以在事件查看器中看到事件46114688.

    4611是【已经将一条收信人的登陆进程注册到本地安全机构】。

    4688是【已创建新进程】。

    当我们使用管理员身份运行power shell的时候,有事件46734688.

    4673是【已调用特权服务】。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2019年1月3日 2:40
    2019年1月3日 2:21
    版主

全部回复

  • 您好,

    感谢您的发帖。

    根据我的测试,当我们使用管理员身份运行CMD的时候,可以在事件查看器中看到事件46114688.

    4611是【已经将一条收信人的登陆进程注册到本地安全机构】。

    4688是【已创建新进程】。

    当我们使用管理员身份运行power shell的时候,有事件46734688.

    4673是【已调用特权服务】。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 谷青松 2019年1月3日 2:40
    2019年1月3日 2:21
    版主
  • 我测试中发现4688有的,但是4611和4673并没有看到,是否是我安全审核开启的不对,烦请告知,谢谢!

    谷青松


    • 已编辑 谷青松 2019年1月3日 2:39 补充
    2019年1月3日 2:39
  • 您好,

    4673事件对应的审核策略是审核特权使用。高级审核策略中是审核非敏感权限使用和审核敏感权限使用。

    4611事件对应的审核策略是审核系统事件。高级审核策略中是审核安全系统扩展。

    相关审核策略和对应的事件ID我们可以参考这个链接:

    https://girl-germs.com/?p=363

    请注意:由于该网站不是由Microsoft托管,因此链接可能会更改,恕不另行通知。Microsoft不保证此信息的准确性。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年1月3日 3:04
    版主
  • 好谢谢你的支持!

    谷青松

    2019年1月4日 5:33