Am ceva ciudat, sper că cineva o poate explica.
Pentru a pregăti scena:
- Aceștia sunt utilizatori standard
- Nu au administrator local pe nicio mașină
- Ei nu au nici un membru sau drepturi speciale de domeniu
- DC este serverul de fișiere, sunt 2 și vedem aceste jurnale pe ambele.
- Scopul general aici este acela de a putea audita toate jetoanele elevate ale niciunui sistem ca fiind suspecte.
Văd evenimentul de mai jos pe controlerele noastre de domeniu pentru utilizatorii care nu au drepturi de administrator și, prin urmare, (din câte îmi dau seama) nu ar trebui să primească token-uri ridicate. Când mă uit pe mașina locală, nu văd nicio autentificare cu simboluri ridicate, dar de obicei (poate întotdeauna, nu pot spune cu siguranță) văd crearea unui nou proces, procesul variază, până acum am văzut Chrome și C:\ Windows\System32\taskhostw.exe. Cred că l-am văzut și corelat cu rularea gpupdate.
Întrebările mele sunt:
- De ce un nou proces care pare local pentru mașina în cauză ar declanșa o autentificare în rețea?
- Mă gândesc la o serie de motive, presupun, dar nu mi se pare strict necesar.
- De ce ar solicita acele procese conexiunile de rețea un token cu valoare ridicată?
- Cum li se acordă un token ridicat când toți documentele spun că nu ar trebui?
- De ce/cum este pornit noul proces, deoarece utilizatorul poate obține un token de tip 1.
Detalii relevante mai jos, dar spuneți-mi dacă doriți mai multe:
Evenimentul 4625 de la DC
Un cont a fost conectat cu succes.
Subiect:
ID de securitate: S-1-0-0
Nume de cont: -
Domeniul contului: -
ID de conectare: 0x0
Informații de conectare:
Tip de conectare: 3
Mod de administrare restricționat: -
Cont virtual: Nu
Token ridicat: Da
Nivel de uzurpare a identității: delegare
Conectare nouă:
ID de securitate: S-1-5-21-2694983979-2918899769-1333944616-3622
Numele contului: TestUser
Domeniul contului: LAN.CONTOSO.COM
ID de conectare: 0xCE02D4F1
ID de conectare conectat: 0x0
Nume cont de rețea: -
Domeniul contului de rețea: -
GUID de conectare: {1FB466DC-C6B8-19AD-313B-F65024F43969}
Informații despre proces:
ID proces: 0x0
Numele procesului: -
Informații de rețea:
Nume stație de lucru: -
Adresa rețelei sursă: 192.168.2.5
Port sursă: 54805
Informații detaliate de autentificare:
Proces de conectare: Kerberos
Pachet de autentificare: Kerberos
Servicii de tranzit: -
Nume pachet (numai NTLM): -
Lungimea cheii: 0
Acest eveniment este generat atunci când este creată o sesiune de conectare. Este generat pe computerul care a fost accesat.
Câmpurile subiect indică contul de pe sistemul local care a solicitat conectarea. Acesta este cel mai frecvent un serviciu, cum ar fi serviciul Server, sau un proces local, cum ar fi Winlogon.exe sau Services.exe.
Câmpul tip de conectare indică tipul de conectare care a avut loc. Cele mai comune tipuri sunt 2 (interactiv) și 3 (rețea).
Câmpurile Conectare nouă indică contul pentru care a fost creată noua conectare, adică contul la care a fost conectat.
Câmpurile de rețea indică de unde a provenit o solicitare de conectare la distanță. Numele stației de lucru nu este întotdeauna disponibil și poate fi lăsat necompletat în unele cazuri.
Câmpul de nivel de uzurpare a identității indică măsura în care un proces din sesiunea de conectare poate uzurpa identitatea.
Câmpurile de informații de autentificare oferă informații detaliate despre această solicitare de conectare specifică.
- Logon GUID este un identificator unic care poate fi folosit pentru a corela acest eveniment cu un eveniment KDC.
- Serviciile de tranzit indică ce servicii intermediare au participat la această solicitare de conectare.
- Numele pachetului indică ce subprotocol a fost folosit printre protocoalele NTLM.
- Lungimea cheii indică lungimea cheii de sesiune generată. Acesta va fi 0 dacă nu a fost solicitată nicio cheie de sesiune.
Evenimentul 4688 de la Client
La tipul de cotă al simbolului: %%1936 = Tip 1 Jeton complet
A fost creat un nou proces.
Subiectul creatorului:
ID de securitate: S-1-5-18
Numele contului: UK-LAPTOP-004$
Domeniul contului: CONTOSO
ID de conectare: 0x3E7
Subiect țintă:
ID de securitate: S-1-5-21-2694983979-2918899769-1333944616-3622
Numele contului: TestUser
Domeniul contului: CONTOSO
ID de conectare: 0x7237F8F0
Informații despre proces:
ID de proces nou: 0x502c
Nou nume de proces: C:\Windows\System32\taskhostw.exe
Tip de cotă a simbolului: %%1936 - Tip 1 Jeton complet
Etichetă obligatorie: S-1-16-8192
ID proces creator: 0xbf8
Numele procesului de creator: C:\Windows\System32\svchost.exe
Linia de comandă a procesului:
Token Elevation Type indică tipul de jeton care a fost alocat noului proces în conformitate cu politica de control al contului de utilizator.
Tipul 1 este un token complet fără privilegii eliminate sau grupuri dezactivate. Un simbol complet este utilizat numai dacă Controlul contului utilizatorului este dezactivat sau dacă utilizatorul este un cont de administrator încorporat sau un cont de serviciu.
Tipul 2 este un token ridicat, fără privilegii eliminate sau grupuri dezactivate. Un token ridicat este utilizat atunci când Controlul contului utilizatorului este activat și utilizatorul alege să pornească programul utilizând Run ca administrator. Un token ridicat este, de asemenea, utilizat atunci când o aplicație este configurată să necesite întotdeauna privilegii de administrare sau să solicite întotdeauna privilegii maxime, iar utilizatorul este membru al grupului Administratori.
Tipul 3 este un simbol limitat cu privilegii administrative eliminate și grupuri administrative dezactivate. Indicatorul limitat este utilizat atunci când Controlul contului utilizatorului este activat, aplicația nu necesită privilegii de administrare și utilizatorul nu alege să pornească programul folosind Executare ca administrator.
Surse
4624: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
4688: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
