主页 / computer / 问题 / 1747379
Accepted
anon-e-mouse
Asked: 2022-10-14 08:04:43 +0800 CST

Windows日志中的目标用户名与主题用户名

  • 772

在查看 Windows 事件日志时,我看到提到了两种用户:主题用户名和目标用户名。

对于身份验证日志(例如 4624 登录事件),我了解主题用户名是执行身份验证的用户,即系统。目标用户名是尝试进行身份验证的用户。

但是,对于进程创建(事件代码 4688)等日志,谁是主题用户,谁是目标用户?

我唯一能想到的是,如果使用模拟令牌,那么主题可以是执行操作的用户,目标可以是代表正在执行操作的用户。但我不认为这是正确的答案。

有任何想法吗?

windows logging

1 个回答

  1. Best Answer

    这是事件 ID 4624
    "account was successfully logged on"

    正在尝试的用户可能与正在登录的用户不同。
    因此我们有主题用户名和目标用户名。

    这是事件 ID 4688
    "new process has been created"

    一些用户正在启动一些新进程。因此,我们有主题用户名。
    新进程可能属于同一用户。
    那是在使用非常常见的CreateProcessA时。

    我们还可以使用CreateProcessAsUserA & CreateProcessWithLogonW & CreateProcessWithTokenW,我们有目标用户名。
    在这些情况下,主题用户名与目标用户名不同。

    这是 C++ 示例:

    
BOOL CreateProcessWithLogonW(
  [in]                LPCWSTR               lpUsername,
  [in, optional]      LPCWSTR               lpDomain,
  [in]                LPCWSTR               lpPassword,
  [in]                DWORD                 dwLogonFlags,
  [in, optional]      LPCWSTR               lpApplicationName,
  [in, out, optional] LPWSTR                lpCommandLine,
  [in]                DWORD                 dwCreationFlags,
  [in, optional]      LPVOID                lpEnvironment,
  [in, optional]      LPCWSTR               lpCurrentDirectory,
  [in]                LPSTARTUPINFOW        lpStartupInfo,
  [out]               LPPROCESS_INFORMATION lpProcessInformation
);

    在这种情况下,我们在这里有目标用户名详细信息:

    
  [in]                LPCWSTR               lpUsername,
  [in, optional]      LPCWSTR               lpDomain,
  [in]                LPCWSTR               lpPassword,
  [in]                DWORD                 dwLogonFlags,

    因此,即使使用事件 ID 4624 和事件 ID 4688,拥有主题用户名和目标用户名也是非常必要的。

    • 0

相关问题