Получил немного странный, я надеюсь, кто-нибудь может объяснить.
Чтобы установить сцену:
- Это обычные пользователи
- У них нет локального администратора ни на одной машине
- У них нет специального членства в домене или прав
- DC - это файловый сервер, их 2, и мы видим эти журналы на обоих.
- Общая цель здесь состоит в том, чтобы иметь возможность проверить все токены с повышенными правами, не относящиеся к системе, как подозрительные.
Я вижу приведенное ниже событие на наших контроллерах домена для пользователей, у которых нет прав администратора и, следовательно, (насколько я могу судить) не должны получать токены с повышенными правами. При просмотре локального компьютера я не вижу никаких входов в систему с повышенными токенами, но я обычно (возможно, всегда, не могу сказать наверняка) вижу создание нового процесса, процесс варьируется, до сих пор я видел Chrome и C: \ Windows\System32\taskhostw.exe. Я думаю, что я также видел, как это коррелирует с запуском gpupdate.
Мои вопросы:
- Почему новый процесс, который кажется локальным для рассматриваемой машины, запускает сетевую аутентификацию?
- Я могу придумать ряд причин, которые я полагаю, но это не кажется строго необходимым.
- Почему эти сетевые подключения процессов запрашивают токен с повышенными правами?
- Как им предоставляется токен с повышенными правами, когда все документы говорят, что этого делать не следует?
- Почему/как запускается новый процесс, поскольку пользователь может получить токен типа 1.
Соответствующие подробности ниже, но дайте мне знать, если вы хотите больше:
Событие 4625 от округа Колумбия
Учетная запись успешно зарегистрирована.
Предмет:
Идентификатор безопасности: S-1-0-0
Имя учетной записи: -
Домен учетной записи: -
Идентификатор входа: 0x0
Информация для входа:
Тип входа: 3
Ограниченный режим администратора: -
Виртуальная учетная запись: нет
Повышенный токен: Да
Уровень олицетворения: делегирование
Новый вход:
Идентификатор безопасности: S-1-5-21-2694983979-2918899769-1333944616-3622
Имя учетной записи: TestUser
Домен учетной записи: LAN.CONTOSO.COM
Идентификатор входа: 0xCE02D4F1
Связанный идентификатор входа: 0x0
Имя сетевой учетной записи: -
Домен сетевой учетной записи: -
GUID входа: {1FB466DC-C6B8-19AD-313B-F65024F43969}
Обрабатывать информацию:
Идентификатор процесса: 0x0
Имя процесса: -
Информация о сети:
Имя рабочей станции: -
Адрес исходной сети: 192.168.2.5
Исходный порт: 54805
Подробная информация об аутентификации:
Процесс входа: Kerberos
Пакет аутентификации: Kerberos
Транзитные услуги: -
Имя пакета (только NTLM): -
Длина ключа: 0
Это событие генерируется при создании сеанса входа в систему. Он создается на компьютере, к которому был осуществлен доступ.
Поля темы указывают учетную запись в локальной системе, которая запросила вход. Чаще всего это служба, такая как служба сервера, или локальный процесс, такой как Winlogon.exe или Services.exe.
Поле типа входа указывает тип входа в систему. Наиболее распространены типы 2 (интерактивный) и 3 (сетевой).
В полях «Новый вход» указана учетная запись, для которой был создан новый вход в систему, т. е. учетная запись, под которой был выполнен вход.
Поля сети указывают, откуда исходит запрос на удаленный вход в систему. Имя рабочей станции доступно не всегда и в некоторых случаях может быть оставлено пустым.
Поле уровня олицетворения указывает степень, в которой процесс в сеансе входа может олицетворять.
В полях сведений об аутентификации содержится подробная информация об этом конкретном запросе на вход.
- GUID входа — это уникальный идентификатор, который можно использовать для сопоставления этого события с событием KDC.
- Транзитные службы указывают, какие промежуточные службы участвовали в этом запросе на вход.
- Имя пакета указывает, какой подпротокол использовался среди протоколов NTLM.
- Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если сеансовый ключ не был запрошен.
Событие 4688 от клиента
При повышении уровня токена: %%1936 = Тип 1 полный токен
Создан новый процесс.
Тема создателя:
Идентификатор безопасности: S-1-5-18
Имя учетной записи: UK-LAPTOP-004$
Домен учетной записи: CONTOSO
Идентификатор входа: 0x3E7
Целевая тема:
Идентификатор безопасности: S-1-5-21-2694983979-2918899769-1333944616-3622
Имя учетной записи: TestUser
Домен учетной записи: CONTOSO
Идентификатор входа: 0x7237F8F0
Обрабатывать информацию:
Новый идентификатор процесса: 0x502c
Имя нового процесса: C:\Windows\System32\taskhostw.exe
Тип повышения токена: %%1936 — тип 1 полный токен
Обязательная этикетка: S-1-16-8192
Идентификатор процесса создателя: 0xbf8
Имя процесса-создателя: C:\Windows\System32\svchost.exe
Командная строка процесса:
Тип повышения уровня маркера указывает тип маркера, назначенного новому процессу в соответствии с политикой контроля учетных записей.
Тип 1 — это полный токен без удаленных привилегий или отключенных групп. Полный токен используется только в том случае, если контроль учетных записей пользователей отключен или если пользователь является встроенной учетной записью администратора или учетной записью службы.
Тип 2 — это токен с повышенными правами без удаленных привилегий или отключенных групп. Маркер с повышенными правами используется, когда включен контроль учетных записей пользователей и пользователь выбирает запуск программы с помощью функции «Запуск от имени администратора». Маркер с повышенными привилегиями также используется, когда приложение настроено на постоянное требование прав администратора или всегда требует максимальных прав, а пользователь является членом группы администраторов.
Тип 3 — это ограниченный токен с удаленными административными привилегиями и отключенными административными группами. Токен с ограниченным доступом используется, когда включен контроль учетных записей, приложение не требует прав администратора и пользователь не выбирает запуск программы с помощью функции «Запуск от имени администратора».
Источники
4624: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
4688: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688