როგორ ინტერპრეტაცია Windows უსაფრთხოების მოვლენის ID 4688 გამოძიებაში

მოვლენის ID 4688-ის ინტერპრეტაციისთვის მნიშვნელოვანია გვესმოდეს სხვადასხვა ველები, რომლებიც შედის მოვლენის ჟურნალში. ეს ველები შეიძლება გამოყენებულ იქნას ნებისმიერი დარღვევების აღმოსაჩენად და პროცესის წარმოშობის თვალყურის დევნებისთვის მის წყარომდე.

• შემქმნელის თემა: ეს ველი შეიცავს ინფორმაციას მომხმარებლის ანგარიშის შესახებ, რომელმაც მოითხოვა ახალი პროცესის შექმნა. ეს ველი უზრუნველყოფს კონტექსტს და შეუძლია დაეხმაროს სასამართლო გამომძიებლებს ანომალიების იდენტიფიცირებაში. იგი მოიცავს რამდენიმე ქვეველს, მათ შორის:

• • უსაფრთხოების იდენტიფიკატორი (SID)” მიხედვით microsoft, SID არის უნიკალური მნიშვნელობა, რომელიც გამოიყენება რწმუნებულის იდენტიფიცირებისთვის. ის გამოიყენება Windows-ის აპარატზე მომხმარებლების იდენტიფიცირებისთვის.
  • ანგარიშის სახელი: SID გადაწყვეტილია აჩვენოს ანგარიშის სახელი, რომელმაც დაიწყო ახალი პროცესის შექმნა.
  • ანგარიშის დომენი: დომენი, რომელსაც ეკუთვნის კომპიუტერი.
  • Logon ID: უნიკალური თექვსმეტობითი მნიშვნელობა, რომელიც გამოიყენება მომხმარებლის შესვლის სესიის იდენტიფიცირებისთვის. ის შეიძლება გამოყენებულ იქნას მოვლენების დასაკავშირებლად, რომლებიც შეიცავს იმავე მოვლენის ID-ს.

• სამიზნე თემა: ეს ველი შეიცავს ინფორმაციას მომხმარებლის ანგარიშის შესახებ, რომლის ქვეშაც მიმდინარეობს პროცესი. პროცესის შექმნის მოვლენაში ნახსენები სუბიექტი, ზოგიერთ შემთხვევაში, შეიძლება განსხვავდებოდეს პროცესის შეწყვეტის მოვლენაში აღნიშნული სუბიექტისგან. ასე რომ, როდესაც შემქმნელსა და სამიზნეს არ აქვთ ერთი და იგივე შესვლა, მნიშვნელოვანია სამიზნე სუბიექტის ჩართვა, მიუხედავად იმისა, რომ ორივე მათგანი მიუთითებს იმავე პროცესის ID-ზე. ქვეველები იგივეა, რაც შემქმნელის სუბიექტის ზემოთ.
• პროცესის ინფორმაცია: ამ ველში მოცემულია დეტალური ინფორმაცია შექმნილი პროცესის შესახებ. იგი მოიცავს რამდენიმე ქვეველს, მათ შორის:

• • ახალი პროცესის ID (PID): უნიკალური თექვსმეტობითი მნიშვნელობა, რომელიც მინიჭებულია ახალ პროცესზე. Windows ოპერაციული სისტემა იყენებს მას აქტიური პროცესების თვალყურის დევნებისთვის.
  • ახალი პროცესის სახელი: შესრულებადი ფაილის სრული გზა და სახელი, რომელიც დაიწყო ახალი პროცესის შესაქმნელად.
  • ტოკენის შეფასების ტიპი: ჟეტონების შეფასება არის უსაფრთხოების მექანიზმი, რომელსაც იყენებს Windows, რათა დადგინდეს, არის თუ არა მომხმარებლის ანგარიში უფლებამოსილი შეასრულოს კონკრეტული მოქმედება. ჟეტონის ტიპს, რომელსაც პროცესი გამოიყენებს ამაღლებული პრივილეგიების მოთხოვნისას, ეწოდება "ტოკენის შეფასების ტიპი". ამ ველის სამი შესაძლო მნიშვნელობაა. ტიპი 1 (%%1936) აღნიშნავს, რომ პროცესი იყენებს მომხმარებლის ნაგულისხმევ ჟეტონს და არ მოითხოვა რაიმე სპეციალური ნებართვა. ამ ველისთვის ეს არის ყველაზე გავრცელებული მნიშვნელობა. ტიპი 2 (%%1937) აღნიშნავს, რომ პროცესი მოითხოვდა ადმინისტრატორის სრულ პრივილეგიებს გასაშვებად და წარმატებით მიიღო ისინი. როდესაც მომხმარებელი აწარმოებს აპლიკაციას ან პროცესს, როგორც ადმინისტრატორი, ის ჩართულია. ტიპი 3 (%%1938) აღნიშნავს, რომ პროცესმა მიიღო მხოლოდ მოთხოვნილი მოქმედების განსახორციელებლად საჭირო უფლებები, მიუხედავად იმისა, რომ მოითხოვდა ამაღლებულ პრივილეგიებს.

• • სავალდებულო ეტიკეტი: პროცესისთვის მინიჭებული მთლიანობის ნიშანი. 
  • შემქმნელის პროცესის ID: უნიკალური თექვსმეტობითი მნიშვნელობა, რომელიც მინიჭებულია პროცესზე, რომელმაც დაიწყო ახალი პროცესი. 
  • შემქმნელის პროცესის სახელი: სრული გზა და პროცესის სახელი, რომელმაც შექმნა ახალი პროცესი.
  • პროცესის ბრძანების ხაზი: გთავაზობთ დეტალებს ბრძანებაში გადაცემული არგუმენტების შესახებ ახალი პროცესის დასაწყებად. იგი მოიცავს რამდენიმე ქვეველს, მათ შორის მიმდინარე დირექტორიასა და ჰეშებს.