Ինչպես մեկնաբանել Windows Security Event ID 4688-ը հետաքննության մեջ

Միջոցառման ID 4688-ը մեկնաբանելու համար կարևոր է հասկանալ իրադարձությունների մատյանում ներառված տարբեր դաշտերը: Այս դաշտերը կարող են օգտագործվել ցանկացած անկանոնություն հայտնաբերելու և գործընթացի սկզբնաղբյուր վերադառնալու համար:

• Ստեղծողի թեմա. այս դաշտը տեղեկատվություն է տրամադրում օգտվողի հաշվի մասին, որը խնդրել է ստեղծել նոր գործընթաց: Այս դաշտը տրամադրում է համատեքստ և կարող է օգնել դատաբժշկական քննիչներին հայտնաբերել անոմալիաները: Այն ներառում է մի քանի ենթադաշտեր, այդ թվում՝

• • Անվտանգության նույնացուցիչ (SID)» Համաձայն Microsoft, SID-ը եզակի արժեք է, որն օգտագործվում է վստահված անձին նույնականացնելու համար: Այն օգտագործվում է Windows համակարգում օգտագործողներին նույնականացնելու համար:
  • Հաշվի անվանումը. SID-ը որոշված ​​է ցույց տալ այն հաշվի անունը, որը նախաձեռնել է նոր գործընթացի ստեղծումը:
  • Հաշվի տիրույթ. այն տիրույթը, որին պատկանում է համակարգիչը:
  • Logon ID՝ եզակի տասնվեցական արժեք, որն օգտագործվում է օգտատիրոջ մուտքի սեսիան նույնականացնելու համար: Այն կարող է օգտագործվել իրադարձությունների փոխկապակցման համար, որոնք պարունակում են նույն իրադարձության ID-ն:

• Թիրախային թեմա. այս դաշտը տեղեկատվություն է տրամադրում օգտվողի հաշվի մասին, որի տակ գործում է գործընթացը: Գործընթացի ստեղծման իրադարձության մեջ նշված առարկան, որոշ հանգամանքներում, կարող է տարբեր լինել գործընթացի դադարեցման իրադարձության մեջ նշված առարկայից: Այսպիսով, երբ ստեղծողն ու թիրախը չունեն նույն մուտքը, կարևոր է ներառել թիրախային թեման, չնայած նրանք երկուսն էլ հղում են կատարում գործընթացի նույն ID-ին: Ենթադաշտերը նույնն են, ինչ վերը նշված ստեղծողի առարկան:
• Գործընթացի մասին տեղեկատվություն. այս դաշտը մանրամասն տեղեկատվություն է տրամադրում ստեղծված գործընթացի մասին: Այն ներառում է մի քանի ենթադաշտեր, այդ թվում՝

• • Նոր գործընթացի ID (PID). եզակի տասնվեցական արժեք, որը վերագրվում է նոր գործընթացին: Windows օպերացիոն համակարգն այն օգտագործում է ակտիվ գործընթացներին հետևելու համար:
  • Նոր գործընթացի անունը. գործարկվող ֆայլի ամբողջական ուղին և անունը, որը գործարկվել է նոր գործընթաց ստեղծելու համար:
  • Token-ի գնահատման տեսակը. Token-ի գնահատումը անվտանգության մեխանիզմ է, որն օգտագործվում է Windows-ի կողմից՝ որոշելու, թե արդյոք օգտվողի հաշիվը լիազորված է կատարել որոշակի գործողություն: Նշանի տեսակը, որը գործընթացն օգտագործելու է բարձր արտոնություններ պահանջելու համար, կոչվում է «token գնահատման տեսակ»: Այս դաշտի համար կա երեք հնարավոր արժեք. Տիպ 1 (%%1936) նշանակում է, որ գործընթացը օգտագործում է լռելյայն օգտագործողի նշանը և որևէ հատուկ թույլտվություն չի պահանջել: Այս դաշտի համար դա ամենատարածված արժեքն է: Տիպ 2 (%%1937) նշանակում է, որ գործընթացը գործարկելու համար պահանջել է ադմինիստրատորի լիարժեք արտոնություններ և հաջողությամբ ստացել դրանք: Երբ օգտատերը որպես ադմինիստրատոր գործարկում է հավելված կամ գործընթաց, այն միացված է: Տիպ 3 (%%1938) նշանակում է, որ գործընթացը ստացել է միայն պահանջվող գործողությունը կատարելու համար պահանջվող իրավունքները, թեև այն պահանջում էր բարձր արտոնություններ:

• • Պարտադիր պիտակ. գործընթացին տրված ամբողջականության պիտակ: 
  • Ստեղծողի գործընթացի ID. եզակի տասնվեցական արժեք, որը վերագրվում է նոր գործընթացին մեկնարկած գործընթացին: 
  • Ստեղծողի գործընթացի անվանումը. նոր գործընթացը ստեղծած գործընթացի ամբողջական ուղին և անվանումը:
  • Գործընթացի հրամանի տող. մանրամասներ է տրամադրում հրամանին փոխանցված փաստարկների մասին՝ նոր գործընթացը սկսելու համար: Այն ներառում է մի քանի ենթադաշտեր, ներառյալ ընթացիկ գրացուցակը և հեշերը: