Członkostwo grupy lokalnej użytkownika zostało wyliczone. Ktoś loguje się na mój pc?


(FloydM) #1

Witam serdecznie. Był podobny temat na tym forum, jednak jego rozwiązanie nie pomogło mi,także zakładam nowy.
Obawiam się lekko o bezpieczeństwo danych na pc. Podczas grania pojawia się dźwięk powiadomień, więc uruchomiłem podgląd zdarzeń żeby sprawdzić o co chodzi. W dzienniku znalazłem niepokojące mnie informacje o członkostwie grupy lokalnej i ciągłym pomyślnym logowaniu do jakiegoś konta… zostawiam dane w plikach z dziennika,wszystko tam jest.

Co robić w takiej sytuacji ? PC jest niedawno kupiony,co prawda używka jednak odnowiony działa bez problemów.

Zabezpieczać hasła ? Może po prostu panikuje i da się coś z tym zrobić?

I5 4570 3,2 do 3,6 GHz, 8 gb ram, 1030 GF GT , windows 10 pro

Nazwa dziennika:Security
Źródło: Microsoft-Windows-Security-Auditing
Data: 05.01.2019 10:39:34
Identyfikator zdarzenia:4798
Kategoria zadania:User Account Management
Poziom: Informacje
Słowa kluczowe:Sukcesy inspekcji
Użytkownik: Nie dotyczy
Komputer: DESKTOP-OQNKVTV
Opis:
Członkostwo grupy lokalnej użytkownika zostało wyliczone.

Podmiot:
Identyfikator zabezpieczeń: DESKTOP-OQNKVTV\admin
Nazwa konta: admin
Domena konta: DESKTOP-OQNKVTV
Identyfikator logowania: 0xA8D65DC

Użytkownik:
Identyfikator zabezpieczeń: DESKTOP-OQNKVTV\admin
Nazwa konta: admin
Domena konta: DESKTOP-OQNKVTV

Informacje o procesie:
Identyfikator procesu: 0x19c0
Nazwa procesu: C:\Windows\explorer.exe
Kod XML zdarzenia:
<Event xmlns=“http://schemas.micro…/events/event">
<System>
<Provider Name=“Microsoft-Windows-Security-Auditing” Guid=”{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4798</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime=“2019-01-05T09:39:34.247149000Z” />
<EventRecordID>10413</EventRecordID>
<Correlation ActivityID="{f90c938a-a46d-0000-3394-0cf96da4d401}" />
<Execution ProcessID=“764” ThreadID=“5880” />
<Channel>Security</Channel>
<Computer>DESKTOP-OQNKVTV</Computer>
<Security />
</System>
<EventData>
<Data Name=“TargetUserName”>admin</Data>
<Data Name=“TargetDomainName”>DESKTOP-OQNKVTV</Data>
<Data Name=“TargetSid”>S-1-5-21-542471558-411906014-3243653241-1001</Data>
<Data Name=“SubjectUserSid”>S-1-5-21-542471558-411906014-3243653241-1001</Data>
<Data Name=“SubjectUserName”>admin</Data>
<Data Name=“SubjectDomainName”>DESKTOP-OQNKVTV</Data>
<Data Name=“SubjectLogonId”>0xa8d65dc</Data>
<Data Name=“CallerProcessId”>0x19c0</Data>
<Data Name=“CallerProcessName”>C:\Windows\explorer.exe</Data>
</EventData>
</Event>

Nazwa dziennika:Security
Źródło: Microsoft-Windows-Security-Auditing
Data: 05.01.2019 10:39:35
Identyfikator zdarzenia:4624
Kategoria zadania:Logon
Poziom: Informacje
Słowa kluczowe:Sukcesy inspekcji
Użytkownik: Nie dotyczy
Komputer: DESKTOP-OQNKVTV
Opis:
Logowanie do konta zakończyło się pomyślnie.

Podmiot:
Identyfikator zabezpieczeń: SYSTEM
Nazwa konta: DESKTOP-OQNKVTV$
Domena konta: WORKGROUP
Identyfikator logowania: 0x3E7

Informacje o logowaniu:
Typ logowania: 5
Ograniczony tryb administratora: -
Konto wirtualne: Nie
Token z podniesionymi uprawnieniami: Tak

Poziom personifikacji: Personifikacja

Nowe logowanie:
Identyfikator zabezpieczeń: SYSTEM
Nazwa konta: SYSTEM
Domena konta: ZARZĄDZANIE NT
Identyfikator logowania: 0x3E7
Połączony identyfikator logowania: 0x0
Nazwa konta sieciowego: -
Domena konta sieciowego: -
Identyfikator GUID logowania: {00000000-0000-0000-0000-000000000000}

Informacje o procesie:
Identyfikator procesu: 0x2e8
Nazwa procesu: C:\Windows\System32\services.exe

Informacje o sieci:
Nazwa stacji roboczej: -
Źródłowy adres sieciowy: -
Port źródłowy: -

Szczegółowe informacje o logowaniu:
Proces logowania: Advapi
Pakiet uwierzytelniania: Negotiate
Usługi przejściowe: -
Nazwa pakietu (tylko protokół NTLM): -
Długość klucza: 0

To zdarzenie jest generowane w przypadku utworzenia sesji logowania. Jest ono generowane na komputerze, do którego uzyskano dostęp.

Pola podmiotu wskazują konto w systemie lokalnym, z poziomu którego zażądano logowania. Najczęściej jest to usługa, taka jak usługa serwera, lub proces lokalny, taki jak Winlogon.exe lub Services.exe.

Pole typu logowania wskazuje rodzaj żądanego logowania. Najczęściej używane typy to 2 (interaktywne) i 3 (sieciowe).

Pola nowego logowania wskazują konto, dla którego utworzono nowe dane logowania, czyli konto, do którego nastąpiło zalogowanie.

Pola sieci wskazują lokalizację, z której pochodziło zdalne żądanie logowania. Nazwa stacji roboczej nie jest zawsze dostępna i w niektórych przypadkach jej pole może pozostać puste.

Poziom personifikacji wskazuje dostępny zakres personifikacji w procesie sesji logowania.

Pola informacji o uwierzytelnianiu zawierają szczegółowe informacje o danym żądaniu logowania.

  • Identyfikator GUID logowania to unikatowy identyfikator, który może być używany do skorelowania tego zdarzenia ze zdarzeniem centrum dystrybucji kluczy.
  • Usługi przejściowe wskazują, które usługi pośrednie uczestniczyły w tym żądaniu logowania.
  • Nazwa pakietu wskazuje, który protokół podrzędny spośród protokołów NTLM został użyty.
  • Długość klucza wskazuje długość wygenerowanego klucza sesji. Jeśli nie zażądano klucza sesji, będzie to wartość 0.
    Kod XML zdarzenia:
    <Event xmlns=“http://schemas.micro…/events/event">
    <System>
    <Provider Name=“Microsoft-Windows-Security-Auditing” Guid=”{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4624</EventID>
    <Version>2</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime=“2019-01-05T09:39:35.286000000Z” />
    <EventRecordID>10414</EventRecordID>
    <Correlation ActivityID="{f90c938a-a46d-0000-3394-0cf96da4d401}" />
    <Execution ProcessID=“764” ThreadID=“6092” />
    <Channel>Security</Channel>
    <Computer>DESKTOP-OQNKVTV</Computer>
    <Security />
    </System>
    <EventData>
    <Data Name=“SubjectUserSid”>S-1-5-18</Data>
    <Data Name=“SubjectUserName”>DESKTOP-OQNKVTV$</Data>
    <Data Name=“SubjectDomainName”>WORKGROUP</Data>
    <Data Name=“SubjectLogonId”>0x3e7</Data>
    <Data Name=“TargetUserSid”>S-1-5-18</Data>
    <Data Name=“TargetUserName”>SYSTEM</Data>
    <Data Name=“TargetDomainName”>ZARZĄDZANIE NT</Data>
    <Data Name=“TargetLogonId”>0x3e7</Data>
    <Data Name=“LogonType”>5</Data>
    <Data Name=“LogonProcessName”>Advapi </Data>
    <Data Name=“AuthenticationPackageName”>Negotiate</Data>
    <Data Name=“WorkstationName”>-</Data>
    <Data Name=“LogonGuid”>{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name=“TransmittedServices”>-</Data>
    <Data Name=“LmPackageName”>-</Data>
    <Data Name=“KeyLength”>0</Data>
    <Data Name=“ProcessId”>0x2e8</Data>
    <Data Name=“ProcessName”>C:\Windows\System32\services.exe</Data>
    <Data Name=“IpAddress”>-</Data>
    <Data Name=“IpPort”>-</Data>
    <Data Name=“ImpersonationLevel”>%%1833</Data>
    <Data Name=“RestrictedAdminMode”>-</Data>
    <Data Name=“TargetOutboundUserName”>-</Data>
    <Data Name=“TargetOutboundDomainName”>-</Data>
    <Data Name=“VirtualAccount”>%%1843</Data>
    <Data Name=“TargetLinkedLogonId”>0x0</Data>
    <Data Name=“ElevatedToken”>%%1842</Data>
    </EventData>
    </Event>

Nazwa dziennika:Security
Źródło: Microsoft-Windows-Security-Auditing
Data: 05.01.2019 10:39:35
Identyfikator zdarzenia:4672
Kategoria zadania:Special Logon
Poziom: Informacje
Słowa kluczowe:Sukcesy inspekcji
Użytkownik: Nie dotyczy
Komputer: DESKTOP-OQNKVTV
Opis:
Przypisano specjalne uprawnienia do nowego logowania.

Podmiot:
Identyfikator zabezpieczeń: SYSTEM
Nazwa konta: SYSTEM
Domena konta: ZARZĄDZANIE NT
Identyfikator logowania: 0x3E7

Uprawnienia: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Kod XML zdarzenia:
<Event xmlns=“http://schemas.micro…/events/event">
<System>
<Provider Name=“Microsoft-Windows-Security-Auditing” Guid=”{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime=“2019-01-05T09:39:35.286007900Z” />
<EventRecordID>10415</EventRecordID>
<Correlation ActivityID="{f90c938a-a46d-0000-3394-0cf96da4d401}" />
<Execution ProcessID=“764” ThreadID=“6092” />
<Channel>Security</Channel>
<Computer>DESKTOP-OQNKVTV</Computer>
<Security />
</System>
<EventData>
<Data Name=“SubjectUserSid”>S-1-5-18</Data>
<Data Name=“SubjectUserName”>SYSTEM</Data>
<Data Name=“SubjectDomainName”>ZARZĄDZANIE NT</Data>
<Data Name=“SubjectLogonId”>0x3e7</Data>
<Data Name=“PrivilegeList”>SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege</Data>
</EventData>
</Event>

Nazwa dziennika:Security
Źródło: Microsoft-Windows-Security-Auditing
Data: 05.01.2019 10:39:35
Identyfikator zdarzenia:4798
Kategoria zadania:User Account Management
Poziom: Informacje
Słowa kluczowe:Sukcesy inspekcji
Użytkownik: Nie dotyczy
Komputer: DESKTOP-OQNKVTV
Opis:
Członkostwo grupy lokalnej użytkownika zostało wyliczone.

Podmiot:
Identyfikator zabezpieczeń: DESKTOP-OQNKVTV\admin
Nazwa konta: admin
Domena konta: DESKTOP-OQNKVTV
Identyfikator logowania: 0xA8D65DC

Użytkownik:
Identyfikator zabezpieczeń: DESKTOP-OQNKVTV\admin
Nazwa konta: admin
Domena konta: DESKTOP-OQNKVTV

Informacje o procesie:
Identyfikator procesu: 0x19c0
Nazwa procesu: C:\Windows\explorer.exe
Kod XML zdarzenia:
<Event xmlns=“http://schemas.micro…/events/event">
<System>
<Provider Name=“Microsoft-Windows-Security-Auditing” Guid=”{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4798</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime=“2019-01-05T09:39:35.388890700Z” />
<EventRecordID>10416</EventRecordID>
<Correlation ActivityID="{f90c938a-a46d-0000-3394-0cf96da4d401}" />
<Execution ProcessID=“764” ThreadID=“6092” />
<Channel>Security</Channel>
<Computer>DESKTOP-OQNKVTV</Computer>
<Security />
</System>
<EventData>
<Data Name=“TargetUserName”>admin</Data>
<Data Name=“TargetDomainName”>DESKTOP-OQNKVTV</Data>
<Data Name=“TargetSid”>S-1-5-21-542471558-411906014-3243653241-1001</Data>
<Data Name=“SubjectUserSid”>S-1-5-21-542471558-411906014-3243653241-1001</Data>
<Data Name=“SubjectUserName”>admin</Data>
<Data Name=“SubjectDomainName”>DESKTOP-OQNKVTV</Data>
<Data Name=“SubjectLogonId”>0xa8d65dc</Data>
<Data Name=“CallerProcessId”>0x19c0</Data>
<Data Name=“CallerProcessName”>C:\Windows\explorer.exe</Data>
</EventData>
</Event>