--------[ AIDA64 Extreme Edition ]-------------------------------------------------------------------------------------- Version AIDA64 v2.60.2100/de Benchmark Modul 2.7.434-x64 Homepage http://www.aida64.com/ Berichtsart Kurzbericht Computer CORSIAR-200R-I5 Ersteller Rene Betriebssystem Microsoft Windows 7 Enterprise 6.1.7601 (Win7 RTM) Datum 2013-10-21 Zeit 20:25 --------[ Ereignisanzeige ]--------------------------------------------------------------------------------------------- Anwendung Warnung 1 2013-10-20 18:26:28 Windows Search Service 1008: Windows Search wird gestartet, und der alte Suchindex wird entfernt {Ursache: Index vollständig zurücksetzen}. Anwendung Fehler Keine 2013-10-20 18:27:07 WinMgmt Anwendung Warnung Keine 2013-10-20 18:28:27 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: AuditPolicyGPManagedStubs.Interop Anwendung Warnung Keine 2013-10-20 18:28:30 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: BDATunePIA Anwendung Warnung Keine 2013-10-20 18:28:34 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehExtHost32 Anwendung Warnung Keine 2013-10-20 18:28:34 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter Anwendung Warnung Keine 2013-10-20 18:28:34 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.UI Anwendung Warnung Keine 2013-10-20 18:28:36 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiUserXp Anwendung Warnung Keine 2013-10-20 18:28:51 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehRecObj Anwendung Warnung Keine 2013-10-20 18:28:51 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiProxy Anwendung Warnung Keine 2013-10-20 18:28:51 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcepg Anwendung Warnung Keine 2013-10-20 18:28:53 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcstore Anwendung Warnung Keine 2013-10-20 18:28:54 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcstoredb Anwendung Warnung Keine 2013-10-20 18:28:54 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiVidCtl Anwendung Warnung Keine 2013-10-20 18:28:54 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiExtens Anwendung Warnung Keine 2013-10-20 18:28:54 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.ApplicationId.Framework Anwendung Warnung Keine 2013-10-20 18:28:54 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.ApplicationId.RuleWizard Anwendung Warnung Keine 2013-10-20 18:28:54 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyModel Anwendung Warnung Keine 2013-10-20 18:28:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.XmlHelper Anwendung Warnung Keine 2013-10-20 18:28:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyManager Anwendung Warnung Keine 2013-10-20 18:28:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyEngineApi.Interop Anwendung Warnung Keine 2013-10-20 18:28:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.AdmTmplEditor Anwendung Warnung Keine 2013-10-20 18:28:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.Interop Anwendung Warnung Keine 2013-10-20 18:28:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.Reporting Anwendung Warnung Keine 2013-10-20 18:28:56 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: SecurityAuditPoliciesSnapIn Anwendung Warnung Keine 2013-10-20 18:28:58 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.Wizards.AutomaticRuleGenerationWizard Anwendung Warnung Keine 2013-10-20 18:29:15 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: SrpUxSnapIn Anwendung Warnung Keine 2013-10-20 18:29:33 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: AuditPolicyGPManagedStubs.Interop Anwendung Warnung Keine 2013-10-20 18:29:39 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: BDATunePIA Anwendung Warnung Keine 2013-10-20 18:29:48 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehCIR Anwendung Warnung Keine 2013-10-20 18:29:48 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiProxy Anwendung Warnung Keine 2013-10-20 18:29:49 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehExtHost Anwendung Warnung Keine 2013-10-20 18:29:49 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter Anwendung Warnung Keine 2013-10-20 18:29:50 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.UI Anwendung Warnung Keine 2013-10-20 18:29:55 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiUserXp Anwendung Warnung Keine 2013-10-20 18:30:33 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehRecObj Anwendung Warnung Keine 2013-10-20 18:30:34 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcepg Anwendung Warnung Keine 2013-10-20 18:30:36 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcstore Anwendung Warnung Keine 2013-10-20 18:30:38 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcstoredb Anwendung Warnung Keine 2013-10-20 18:30:38 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiVidCtl Anwendung Warnung Keine 2013-10-20 18:30:39 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiExtens Anwendung Warnung Keine 2013-10-20 18:30:39 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiActivScp Anwendung Warnung Keine 2013-10-20 18:30:40 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiBmlDataCarousel Anwendung Warnung Keine 2013-10-20 18:30:40 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiiTv Anwendung Warnung Keine 2013-10-20 18:30:40 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiTVMSMusic Anwendung Warnung Keine 2013-10-20 18:30:40 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.iTv.Hosting Anwendung Warnung Keine 2013-10-20 18:30:40 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiUPnP Anwendung Warnung Keine 2013-10-20 18:30:40 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiwmp Anwendung Warnung Keine 2013-10-20 18:30:41 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiWUapi Anwendung Warnung Keine 2013-10-20 18:30:42 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.Shell Anwendung Warnung Keine 2013-10-20 18:30:42 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.Interop Anwendung Warnung Keine 2013-10-20 18:30:43 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.ITVVM Anwendung Warnung Keine 2013-10-20 18:30:43 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.Playback Anwendung Warnung Keine 2013-10-20 18:30:43 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.TV.Tuners.Interop Anwendung Warnung Keine 2013-10-20 18:30:43 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.Sports Anwendung Warnung Keine 2013-10-20 18:30:44 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehshell Anwendung Fehler Keine 2013-10-20 18:30:57 Software Protection Platform Service 8200: Anwendung Fehler Keine 2013-10-20 18:30:57 Software Protection Platform Service 1008: Anwendung Warnung Keine 2013-10-20 18:30:58 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Mcx2Dvcs Anwendung Warnung Keine 2013-10-20 18:30:58 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.iTv Anwendung Warnung Keine 2013-10-20 18:30:58 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.iTv.Media Anwendung Warnung Keine 2013-10-20 18:30:59 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: LoadMxf Anwendung Warnung Keine 2013-10-20 18:30:59 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: MCESidebarCtrl Anwendung Warnung Keine 2013-10-20 18:30:59 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcGlidHostObj Anwendung Warnung Keine 2013-10-20 18:31:00 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcplayerinterop Anwendung Warnung Keine 2013-10-20 18:31:00 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcupdate Anwendung Warnung Keine 2013-10-20 18:31:01 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.ApplicationId.Framework Anwendung Warnung Keine 2013-10-20 18:31:01 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.ApplicationId.RuleWizard Anwendung Warnung Keine 2013-10-20 18:31:01 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyModel Anwendung Warnung Keine 2013-10-20 18:31:01 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.XmlHelper Anwendung Warnung Keine 2013-10-20 18:31:01 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyManager Anwendung Warnung Keine 2013-10-20 18:31:02 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyEngineApi.Interop Anwendung Warnung Keine 2013-10-20 18:31:02 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.AdmTmplEditor Anwendung Warnung Keine 2013-10-20 18:31:02 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.Interop Anwendung Warnung Keine 2013-10-20 18:31:02 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.Reporting Anwendung Warnung Keine 2013-10-20 18:31:05 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: SecurityAuditPoliciesSnapIn Anwendung Warnung Keine 2013-10-20 18:31:08 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.Bml Anwendung Warnung Keine 2013-10-20 18:31:10 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.Mheg Anwendung Warnung Keine 2013-10-20 18:31:10 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.Wizards.AutomaticRuleGenerationWizard Anwendung Warnung Keine 2013-10-20 18:31:45 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: SrpUxSnapIn Anwendung Warnung Keine 2013-10-20 18:34:15 LOKALER DIENST Microsoft-Windows-RPC-Events 11: Es wurde versucht, eine Datei mit einem falschen Format zu laden. Anwendung Fehler Keine 2013-10-20 18:34:21 Software Protection Platform Service 8200: Anwendung Fehler Keine 2013-10-20 18:34:21 Software Protection Platform Service 1014: Anwendung Fehler Keine 2013-10-20 18:34:35 Software Protection Platform Service 8200: Anwendung Fehler Keine 2013-10-20 18:34:35 Software Protection Platform Service 1014: Anwendung Fehler Keine 2013-10-20 18:39:23 Software Protection Platform Service 8200: Anwendung Fehler Keine 2013-10-20 18:39:23 Software Protection Platform Service 1010: Anwendung Fehler Keine 2013-10-20 18:39:40 Software Protection Platform Service 8200: Anwendung Fehler Keine 2013-10-20 18:39:40 Software Protection Platform Service 1010: Anwendung Warnung Keine 2013-10-20 18:48:23 SYSTEM Microsoft-Windows-User Profiles Service 1530: Anwendung Fehler Keine 2013-10-20 18:50:41 WinMgmt Anwendung Fehler Keine 2013-10-20 19:02:32 WinMgmt Anwendung Warnung 1 2013-10-20 19:05:25 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 19:05:27 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung Keine 2013-10-20 19:06:55 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\ASUS\GPU Tweak\GPUTweak.exe'"(PID 2232) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 19:07:11 Rene WinMgmt Anwendung Warnung Keine 2013-10-20 19:07:11 Rene WinMgmt Anwendung Warnung Keine 2013-10-20 19:07:11 Rene WinMgmt Anwendung Fehler Keine 2013-10-20 19:09:39 .NET Runtime 1026: Application: IAStorDataMgrSvc.exe Framework Version: v4.0.30319 Description: The process was terminated due to an unhandled exception. Exception Info: System.NullReferenceException Stack: at IAStorDataMgr.EventRelay.SetSystemState(PSI.PsiSystemDataModel) at IAStorDataMgr.EventRelay.b__0(System.Object) at System.Threading.QueueUserWorkItemCallback.WaitCallback_Context(System.Object) at System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) at System.Threading.QueueUserWorkItemCallback.System.Threading.IThreadPoolWorkItem.ExecuteWorkItem() at System.Threading.ThreadPoolWorkQueue.Dispatch() at System.Threading._ThreadPoolWaitCallback.PerformWaitCallback() Anwendung Fehler 100 2013-10-20 19:09:41 Application Error 1000: Name der fehlerhaften Anwendung: IAStorDataMgrSvc.exe, Version: 12.0.0.1083, Zeitstempel: 0x50f6d81d Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel: 0x00000000 Ausnahmecode: 0xc0000005 Fehleroffset: 0x04274a19 ID des fehlerhaften Prozesses: 0x12a0 Startzeit der fehlerhaften Anwendung: 0x01cecdb70ed75432 Pfad der fehlerhaften Anwendung: C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe Pfad des fehlerhaften Moduls: unknown Berichtskennung: 67eebe5d-39aa-11e3-b496-8bf1d8c6fd04 Anwendung Warnung Keine 2013-10-20 19:09:41 SYSTEM Microsoft-Windows-User Profiles Service 1530: Anwendung Fehler Keine 2013-10-20 19:13:31 WinMgmt Anwendung Fehler Keine 2013-10-20 20:10:36 WinMgmt Anwendung Warnung Keine 2013-10-20 20:11:22 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Windows\explorer.exe'"(PID 1516) kann nicht neu gestartet werden - 1. Anwendung Fehler Keine 2013-10-20 20:12:29 WinMgmt Anwendung Warnung Keine 2013-10-20 20:14:10 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Windows\explorer.exe'"(PID 3492) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 20:36:00 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe'"(PID 4504) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 20:36:00 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe'"(PID 3752) kann nicht neu gestartet werden - 1. Anwendung Warnung 1 2013-10-20 20:37:31 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 20:37:33 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 20:38:19 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 20:38:22 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung Keine 2013-10-20 20:38:51 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe'"(PID 4504) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 20:38:51 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe'"(PID 2432) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 20:38:51 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe'"(PID 2560) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 20:38:51 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe'"(PID 3752) kann nicht neu gestartet werden - 1. Anwendung Fehler Keine 2013-10-20 20:44:31 WinMgmt Anwendung Fehler Keine 2013-10-20 20:45:09 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Dynamic, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Dynamic, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:10 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: Microsoft.CSharp, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: Microsoft.CSharp, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: WindowsBase, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: WindowsBase, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationCore, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationCore, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:11 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: WindowsBase, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: WindowsBase, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationCore, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationCore, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:12 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework.Aero, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework.Aero, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework.Classic, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework.Classic, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:13 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework.Luna, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: PresentationFramework.Luna, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:14 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.ComponentModel.Composition, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.ComponentModel.Composition, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:15 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:16 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.Linq, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.Linq, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Design, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Design, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:17 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Drawing.Design, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Drawing.Design, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:18 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Core, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Data.SqlXml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Dynamic, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Dynamic, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:19 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Windows.Forms, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Windows.Forms, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: WindowsBase, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 20:45:20 .NET Runtime Optimization Service 1101: .NET Runtime Optimization Service (clr_optimization_v4.0.30319_32) - 1>Failed to compile: WindowsBase, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35 . Error code = 0x80131f06 Anwendung Fehler Keine 2013-10-20 21:09:29 SideBySide 33: Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Rene\AppData\Local\Temp\RapidSolution\TempSFX\msi\VCRedistSmartCheckerDll.dll". Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe". Anwendung Fehler Keine 2013-10-20 21:09:43 Rene MsiInstaller 11704: Product: Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 -- Error 1704.An installation for Microsoft .NET Framework 4 Client Profile is currently suspended. You must undo the changes made by that installation to continue. Do you want to undo those changes? Anwendung Fehler Keine 2013-10-20 21:09:52 SideBySide 33: Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Rene\AppData\Local\Temp\RapidSolution\TempSFX\msi\VCRedistSmartCheckerDll.dll". Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe". Anwendung Warnung Keine 2013-10-20 21:10:05 SYSTEM Microsoft-Windows-User Profiles Service 1530: Anwendung Fehler Keine 2013-10-20 21:12:23 SideBySide 33: Fehler beim Generieren des Aktivierungskontextes für "C:\Users\Rene\AppData\Local\Temp\RapidSolution\TempSFX\msi\VCRedistSmartCheckerDll.dll". Die abhängige Assemblierung "Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.30729.6161"" konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm "sxstrace.exe". Anwendung Fehler Keine 2013-10-20 21:12:38 WinMgmt Anwendung Warnung 1 2013-10-20 21:38:34 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:38:36 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Windows Firewall Control\wfc.exe'"(PID 1484) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe'"(PID 3736) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\CyberGhost 5\CyberGhost.exe'"(PID 4736) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe'"(PID 1676) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe'"(PID 5724) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe'"(PID 7904) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:39:11 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Audials\Audials 10\AudialsNotifier.exe'"(PID 4064) kann nicht neu gestartet werden - 1. Anwendung Warnung 1 2013-10-20 21:40:45 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:40:47 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:41:40 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:41:42 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung Keine 2013-10-20 21:43:09 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Windows Firewall Control\wfc.exe'"(PID 1484) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:43:09 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe'"(PID 3736) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:43:09 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe'"(PID 7904) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:43:09 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Audials\Audials 10\AudialsNotifier.exe'"(PID 4064) kann nicht neu gestartet werden - 1. Anwendung Warnung 1 2013-10-20 21:47:44 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:47:46 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:49:07 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 21:49:08 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung Keine 2013-10-20 21:53:56 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files\Windows Firewall Control\wfc.exe'"(PID 1484) kann nicht neu gestartet werden - 1. Anwendung Warnung Keine 2013-10-20 21:53:56 Rene Microsoft-Windows-RestartManager 10010: Die Anwendung "C:\Program Files (x86)\Audials\Audials 10\AudialsNotifier.exe'"(PID 4064) kann nicht neu gestartet werden - 1. Anwendung Fehler Keine 2013-10-20 21:56:46 Rene MsiInstaller 11935: Product: MSXML 4.0 SP2 (KB954430) -- Error 1935. An error occured during the installation of assembly component {7B30B69B-0E6C-B7E0-A06B-D6B9ABF34537}. HRESULT: 0x80070BC9. assembly interface: IAssemblyCacheItem, function: Commit, assembly name: Microsoft.MSXML2,type="win32",version="4.20.9870.0",publicKeyToken="6bd6b9abf345378f",processorArchitecture="x86" Anwendung Fehler Keine 2013-10-20 21:58:24 Rene MsiInstaller 11935: Product: MSXML 4.0 SP2 (KB973688) -- Error 1935. An error occured during the installation of assembly component {7B2B4EA5-1028-B7E6-A06B-D6B9ABF34537}. HRESULT: 0x80070BC9. assembly interface: IAssemblyCacheItem, function: Commit, assembly name: Microsoft.MSXML2,type="win32",version="4.20.9876.0",publicKeyToken="6bd6b9abf345378f",processorArchitecture="x86" Anwendung Warnung 1 2013-10-20 22:00:46 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 22:00:48 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Fehler Keine 2013-10-20 22:01:09 Rene MsiInstaller 11935: Product: Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 -- Error 1935.An error occurred during the installation of assembly 'Microsoft.VC90.ATL,version="9.0.30729.6161",publicKeyToken="1fc8b3b9a1e18e3b",processorArchitecture="amd64",type="win32"'. Please refer to Help and Support for more information. HRESULT: 0x80070BC9. assembly interface: IAssemblyCacheItem, function: Commit, component: {74C57B6B-FF6E-3825-BED2-78E14E3E0E3C} Anwendung Warnung 1 2013-10-20 22:03:51 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Warnung 1 2013-10-20 22:03:53 ASP.NET 4.0.30319.0 1020: Updates to the IIS metabase were aborted because IIS is either not installed or is disabled on this machine. To configure ASP.NET to run in IIS, please install or enable IIS and re-register ASP.NET using aspnet_regiis.exe /i. Anwendung Fehler Keine 2013-10-20 22:13:40 Software Protection Platform Service 8200: Anwendung Fehler Keine 2013-10-20 22:13:40 Software Protection Platform Service 1014: Anwendung Warnung Keine 2013-10-20 22:13:41 Software Protection Platform Service 8196: Anwendung Warnung Keine 2013-10-20 22:24:41 SYSTEM Microsoft-Windows-User Profiles Service 1530: Anwendung Fehler Keine 2013-10-20 22:27:24 WinMgmt Anwendung Fehler Keine 2013-10-21 18:36:14 WinMgmt Anwendung Warnung Keine 2013-10-21 18:46:02 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: AuditPolicyGPManagedStubs.Interop Anwendung Warnung Keine 2013-10-21 18:46:02 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: BDATunePIA Anwendung Warnung Keine 2013-10-21 18:46:21 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehExtHost32 Anwendung Warnung Keine 2013-10-21 18:46:21 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter Anwendung Warnung Keine 2013-10-21 18:46:21 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.MediaCenter.UI Anwendung Warnung Keine 2013-10-21 18:46:24 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiUserXp Anwendung Warnung Keine 2013-10-21 18:46:24 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehRecObj Anwendung Warnung Keine 2013-10-21 18:46:24 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiProxy Anwendung Warnung Keine 2013-10-21 18:46:24 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcepg Anwendung Warnung Keine 2013-10-21 18:46:26 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcstore Anwendung Warnung Keine 2013-10-21 18:46:27 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: mcstoredb Anwendung Warnung Keine 2013-10-21 18:46:27 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiVidCtl Anwendung Warnung Keine 2013-10-21 18:46:27 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: ehiExtens Anwendung Warnung Keine 2013-10-21 18:46:30 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.ApplicationId.Framework Anwendung Warnung Keine 2013-10-21 18:46:31 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.ApplicationId.RuleWizard Anwendung Warnung Keine 2013-10-21 18:46:31 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyModel Anwendung Warnung Keine 2013-10-21 18:46:31 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.XmlHelper Anwendung Warnung Keine 2013-10-21 18:46:31 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyManager Anwendung Warnung Keine 2013-10-21 18:46:31 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.PolicyEngineApi.Interop Anwendung Warnung Keine 2013-10-21 18:46:35 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.AdmTmplEditor Anwendung Warnung Keine 2013-10-21 18:46:35 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.Interop Anwendung Warnung Keine 2013-10-21 18:46:36 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.GroupPolicy.Reporting Anwendung Warnung Keine 2013-10-21 18:46:37 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: SecurityAuditPoliciesSnapIn Anwendung Warnung Keine 2013-10-21 18:46:52 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.PolicyManagement.Cmdlets Anwendung Warnung Keine 2013-10-21 18:46:52 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: Microsoft.Security.ApplicationId.Wizards.AutomaticRuleGenerationWizard Anwendung Warnung Keine 2013-10-21 18:47:07 .NET Runtime Optimization Service 1130: .NET Runtime Optimization Service (2.0.50727.7025) - Version or flavor did not match with repository: SrpUxSnapIn Anwendung Fehler Keine 2013-10-21 18:51:41 WinMgmt Anwendung Fehler 100 2013-10-21 19:10:45 Application Error 1000: Name der fehlerhaften Anwendung: ISUSPM.exe, Version: 13.0.0.43575, Zeitstempel: 0x4e9664be Name des fehlerhaften Moduls: ISUSPM.exe, Version: 13.0.0.43575, Zeitstempel: 0x4e9664be Ausnahmecode: 0xc0000005 Fehleroffset: 0x0000ab4b ID des fehlerhaften Prozesses: 0xc6c Startzeit der fehlerhaften Anwendung: 0x01cece7d916892c1 Pfad der fehlerhaften Anwendung: C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe Pfad des fehlerhaften Moduls: C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe Berichtskennung: b8d288a8-3a73-11e3-87ae-94de80b85623 Anwendung Warnung Keine 2013-10-21 19:22:37 Rene HeavyLoad 0: Fehler beim Speichern der Datei "C:\Users\Rene\AppData\Roaming\JAM Software\HeavyLoad\GlobalOptions.config".Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird Anwendung Warnung Keine 2013-10-21 19:22:37 Rene HeavyLoad 0: Fehler beim Speichern der Datei "C:\Users\Rene\AppData\Roaming\JAM Software\HeavyLoad\GlobalOptions.config".Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird Anwendung Warnung Keine 2013-10-21 19:22:37 Rene HeavyLoad 0: Fehler beim Speichern der Datei "C:\Users\Rene\AppData\Roaming\JAM Software\HeavyLoad\GlobalOptions.config".Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird Anwendung Warnung Keine 2013-10-21 19:22:37 Rene HeavyLoad 0: Fehler beim Speichern der Datei "C:\Users\Rene\AppData\Roaming\JAM Software\HeavyLoad\GlobalOptions.config".Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird Anwendung Warnung Keine 2013-10-21 19:22:37 Rene HeavyLoad 0: Fehler beim Speichern der Datei "C:\Users\Rene\AppData\Roaming\JAM Software\HeavyLoad\GlobalOptions.config".Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird Anwendung Fehler Keine 2013-10-21 19:47:36 WinMgmt Anwendung Fehler Keine 2013-10-21 19:58:54 WinMgmt Sicherheit Audit Success 12288 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4608: Windows wird gestartet. Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird. Sicherheit Audit Success 12544 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 0 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x4 Prozessname: Netzwerkinformationen: Arbeitsstationsname: - Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: - Authentifizierungspaket: - Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4902: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt. Anzahl von Elementen: 0 Richtlinienkennung: 0x37d46 Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-32-556 Gruppenname: Netzwerkkonfigurations-Operatoren Gruppendomäne: Builtin Attribute: SAM-Kontoname: Netzwerkkonfigurations-Operatoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-556 Gruppenname: Netzwerkkonfigurations-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-32-547 Gruppenname: Hauptbenutzer Gruppendomäne: Builtin Attribute: SAM-Kontoname: Hauptbenutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-547 Gruppenname: Hauptbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-32-569 Gruppenname: Kryptografie-Operatoren Gruppendomäne: Builtin Attribute: SAM-Kontoname: Kryptografie-Operatoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-569 Gruppenname: Kryptografie-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-32-551 Gruppenname: Sicherungs-Operatoren Gruppendomäne: Builtin Attribute: SAM-Kontoname: Sicherungs-Operatoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-551 Gruppenname: Sicherungs-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-32-552 Gruppenname: Replikations-Operator Gruppendomäne: Builtin Attribute: SAM-Kontoname: Replikations-Operator SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-552 Gruppenname: Replikations-Operator Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-32-555 Gruppenname: Remotedesktopbenutzer Gruppendomäne: Builtin Attribute: SAM-Kontoname: Remotedesktopbenutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:22:50 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-555 Gruppenname: Remotedesktopbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 12292 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:22:53 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12292 2013-10-20 18:22:54 Microsoft-Windows-Security-Auditing 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 18:22:54 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: S-1-5-7 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x4828b Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 13824 2013-10-20 18:24:06 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-500 Kontoname: Administrator Kontodomäne: 37L4247F27-25 Geänderte Attribute: SAM-Kontoname: - Anzeigename: - Benutzerprinzipalname: - Stammverzeichnis: - Stammlaufwerk: - Skriptpfad: - Profilpfad: - Benutzerarbeitsstationen: - Letzte Kennwortänderung: - Konto gültig bis: - Primäre Gruppen-ID: - Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x211 Neuer Benutzerkontensteuerungswert: 0x211 Benutzerkontensteuerung: - Benutzerparameter: - SID-Verlauf: - Anmeldezeiten: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 103 2013-10-20 18:24:48 Microsoft-Windows-Eventlog 1100: Sicherheit Audit Success 12544 2013-10-20 18:24:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:24:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: 37L4247F27-25$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1ac Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:24:48 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:24:48 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12288 2013-10-20 18:25:14 Microsoft-Windows-Security-Auditing 4608: Windows wird gestartet. Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird. Sicherheit Audit Success 12544 2013-10-20 18:25:14 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 0 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x4 Prozessname: Netzwerkinformationen: Arbeitsstationsname: - Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: - Authentifizierungspaket: - Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 13568 2013-10-20 18:25:14 Microsoft-Windows-Security-Auditing 4902: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt. Anzahl von Elementen: 0 Richtlinienkennung: 0xa5b3 Sicherheit Audit Success 12544 2013-10-20 18:25:15 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:25:15 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:25:15 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:25:15 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 18:25:19 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:25:19 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:25:19 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:25:19 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:25:19 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:25:19 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 18:26:16 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:26:16 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:26:16 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:26:16 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12292 2013-10-20 18:26:17 Microsoft-Windows-Security-Auditing 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. Sicherheit Audit Success 12292 2013-10-20 18:26:17 Microsoft-Windows-Security-Auditing 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 18:26:17 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: S-1-5-7 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x29355 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-500 Kontoname: Administrator Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Administrator Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: 21.11.2010 05:57:24 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x211 Neuer Benutzerkontensteuerungswert: 0x211 Benutzerkontensteuerung: - Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-500 Kontoname: Administrator Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Administrator Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: 21.11.2010 05:57:24 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x211 Neuer Benutzerkontensteuerungswert: 0x211 Benutzerkontensteuerung: - Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-501 Kontoname: Guest Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Guest Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: %%1794 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x215 Neuer Benutzerkontensteuerungswert: 0x215 Benutzerkontensteuerung: - Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-501 Kontodomäne: Corsiar-200R-I5 Alter Kontoname: Guest Neuer Kontoname: Gast Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-501 Kontoname: Gast Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Gast Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: %%1794 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x215 Neuer Benutzerkontensteuerungswert: 0x215 Benutzerkontensteuerung: - Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-544 Kontodomäne: Builtin Alter Kontoname: Administrators Neuer Kontoname: Administratoren Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-545 Kontodomäne: Builtin Alter Kontoname: Users Neuer Kontoname: Benutzer Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-546 Kontodomäne: Builtin Alter Kontoname: Guests Neuer Kontoname: Gäste Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-551 Kontodomäne: Builtin Alter Kontoname: Sicherungs-Operatoren Neuer Kontoname: Sicherungs-Operatoren Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-552 Kontodomäne: Builtin Alter Kontoname: Replikations-Operator Neuer Kontoname: Replikations-Operator Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-555 Kontodomäne: Builtin Alter Kontoname: Remotedesktopbenutzer Neuer Kontoname: Remotedesktopbenutzer Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-556 Kontodomäne: Builtin Alter Kontoname: Netzwerkkonfigurations-Operatoren Neuer Kontoname: Netzwerkkonfigurations-Operatoren Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-547 Kontodomäne: Builtin Alter Kontoname: Hauptbenutzer Neuer Kontoname: Hauptbenutzer Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-558 Kontodomäne: Builtin Alter Kontoname: Performance Monitor Users Neuer Kontoname: Leistungsüberwachungsbenutzer Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-559 Kontodomäne: Builtin Alter Kontoname: Performance Log Users Neuer Kontoname: Leistungsprotokollbenutzer Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-562 Kontodomäne: Builtin Alter Kontoname: Distributed COM Users Neuer Kontoname: Distributed COM-Benutzer Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-568 Kontodomäne: Builtin Alter Kontoname: IIS_IUSRS Neuer Kontoname: IIS_IUSRS Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-569 Kontodomäne: Builtin Alter Kontoname: Kryptografie-Operatoren Neuer Kontoname: Kryptografie-Operatoren Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4781: Der Name eines Kontos wurde geändert: Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-32-573 Kontodomäne: Builtin Alter Kontoname: Event Log Readers Neuer Kontoname: Ereignisprotokollleser Zusätzliche Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-573 Gruppenname: Ereignisprotokollleser Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Ereignisprotokollleser SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-544 Gruppenname: Administrators Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-544 Gruppenname: Administratoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Administratoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-545 Gruppenname: Users Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-545 Gruppenname: Benutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Benutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-546 Gruppenname: Guests Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-546 Gruppenname: Gäste Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Gäste SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-551 Gruppenname: Sicherungs-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-551 Gruppenname: Sicherungs-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Sicherungs-Operatoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-552 Gruppenname: Replikations-Operator Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-552 Gruppenname: Replikations-Operator Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Replikations-Operator SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-555 Gruppenname: Remotedesktopbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-555 Gruppenname: Remotedesktopbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Remotedesktopbenutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-556 Gruppenname: Netzwerkkonfigurations-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-556 Gruppenname: Netzwerkkonfigurations-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Netzwerkkonfigurations-Operatoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-547 Gruppenname: Hauptbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-547 Gruppenname: Hauptbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Hauptbenutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-558 Gruppenname: Performance Monitor Users Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-558 Gruppenname: Leistungsüberwachungsbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Leistungsüberwachungsbenutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-559 Gruppenname: Performance Log Users Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-559 Gruppenname: Leistungsprotokollbenutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Leistungsprotokollbenutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-562 Gruppenname: Distributed COM Users Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-562 Gruppenname: Distributed COM-Benutzer Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Distributed COM-Benutzer SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-568 Gruppenname: IIS_IUSRS Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-568 Gruppenname: IIS_IUSRS Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: IIS_IUSRS SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-569 Gruppenname: Kryptografie-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-569 Gruppenname: Kryptografie-Operatoren Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: Kryptografie-Operatoren SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:21 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-32-573 Gruppenname: Event Log Readers Gruppendomäne: Builtin Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 12288 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4616: Die Systemzeit wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozessinformationen: Prozess-ID: 0x358 Name: C:\Windows\System32\oobe\msoobe.exe Vorherige Zeit: 2013-10-20T16:26:25.954136000Z Neue Zeit: 2013-10-20T16:26:25.860000000Z Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird. Sicherheit Audit Success 13824 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4720: Ein Benutzerkonto wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neues Konto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Attribute: SAM-Kontoname: Rene Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: %%1794 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Kann delegieren an: - Alter Benutzerkontensteuerungswert: 0x0 Neuer Benutzerkontensteuerungswert: 0x15 Benutzerkontensteuerung: %%2080 %%2082 %%2084 Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen - Sicherheit Audit Success 13824 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4722: Ein Benutzerkonto wurde aktiviert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Sicherheit Audit Success 13824 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Rene Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: %%1794 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x15 Neuer Benutzerkontensteuerungswert: 0x14 Benutzerkontensteuerung: %%2048 Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Rene Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: %%1794 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x14 Neuer Benutzerkontensteuerungswert: 0x214 Benutzerkontensteuerung: %%2089 Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: Rene Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: 20.10.2013 18:26:25 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x214 Neuer Benutzerkontensteuerungswert: 0x214 Benutzerkontensteuerung: - Benutzerparameter: - SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Sicherheit Audit Success 13826 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4728: Ein Mitglied einer sicherheitsaktivierten globalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-513 Gruppenname: None Gruppendomäne: Corsiar-200R-I5 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4732: Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-32-545 Gruppenname: Benutzer Gruppendomäne: Builtin Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4732: Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-32-544 Gruppenname: Administratoren Gruppendomäne: Builtin Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:26:25 Microsoft-Windows-Security-Auditing 4733: Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde entfernt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-32-545 Gruppenname: Benutzer Gruppendomäne: Builtin Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 12544 2013-10-20 18:26:28 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:26:28 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 18:26:29 Microsoft-Windows-Security-Auditing 4648: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x1b8 Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Netzwerkadresse: 127.0.0.1 Port: 0 Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Sicherheit Audit Success 12544 2013-10-20 18:26:29 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 2 Neue Anmeldung: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x35bb7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1b8 Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: WIN-KIJS28SSM8K Quellnetzwerkadresse: 127.0.0.1 Quellport: 0 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:26:29 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x35bb7 Berechtigungen: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 18:28:18 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:28:18 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 18:32:51 Microsoft-Windows-Security-Auditing 5056: Ein Kryptografieselbsttest wurde ausgeführt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Modul: ncrypt.dll Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2481 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e69c93139553b500d9e8964bc0115946_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2459 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5059: Schlüsselmigrationsvorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Zusätzliche Informationen: Vorgang: %%2464 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5059: Schlüsselmigrationsvorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Zusätzliche Informationen: Vorgang: %%2464 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 13569 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4717: Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Konto geändert: Kontoname: S-1-5-21-1135404196-3612289584-3250504439-1002 Erteilter Zugriff: Zugriffsberechtigung: SeDenyInteractiveLogonRight Sicherheit Audit Success 13569 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4717: Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Konto geändert: Kontoname: S-1-5-21-1135404196-3612289584-3250504439-1002 Erteilter Zugriff: Zugriffsberechtigung: SeDenyBatchLogonRight Sicherheit Audit Success 13824 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4720: Ein Benutzerkonto wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neues Konto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: HomeGroupUser$ Kontodomäne: Corsiar-200R-I5 Attribute: SAM-Kontoname: HomeGroupUser$ Anzeigename: %%1793 Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: %%1794 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Kann delegieren an: - Alter Benutzerkontensteuerungswert: 0x0 Neuer Benutzerkontensteuerungswert: 0x15 Benutzerkontensteuerung: %%2080 %%2082 %%2084 Benutzerparameter: %%1793 SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen - Sicherheit Audit Success 13824 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4722: Ein Benutzerkonto wurde aktiviert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: HomeGroupUser$ Kontodomäne: Corsiar-200R-I5 Sicherheit Audit Success 13824 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: HomeGroupUser$ Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: HomeGroupUser$ Anzeigename: HomeGroupUser$ Benutzerprinzipalname: - Stammverzeichnis: %%1793 Stammlaufwerk: %%1793 Skriptpfad: %%1793 Profilpfad: %%1793 Benutzerarbeitsstationen: %%1793 Letzte Kennwortänderung: 20.10.2013 18:34:15 Konto gültig bis: %%1794 Primäre Gruppen-ID: 513 Darf delegieren an: - Alter Benutzerkontensteuerungswert: 0x15 Neuer Benutzerkontensteuerungswert: 0x210 Benutzerkontensteuerung: %%2048 %%2050 %%2089 Benutzerparameter: - SID-Verlauf: - Anmeldezeiten: %%1797 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13824 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4724: Es wurde versucht, das Kennwort eines Kontos zurückzusetzen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: HomeGroupUser$ Kontodomäne: Corsiar-200R-I5 Sicherheit Audit Success 13824 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4738: Ein Benutzerkonto wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Zielkonto: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: HomeGroupUser$ Kontodomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: - Anzeigename: - Benutzerprinzipalname: - Stammverzeichnis: - Stammlaufwerk: - Skriptpfad: - Profilpfad: - Benutzerarbeitsstationen: - Letzte Kennwortänderung: - Konto gültig bis: - Primäre Gruppen-ID: - Darf delegieren an: - Alter Benutzerkontensteuerungswert: - Neuer Benutzerkontensteuerungswert: - Benutzerkontensteuerung: - Benutzerparameter: - SID-Verlauf: - Anmeldezeiten: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4731: Eine sicherheitsaktivierte lokale Gruppe wurde erstellt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Neue Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1001 Gruppenname: HomeUsers Gruppendomäne: Corsiar-200R-I5 Attribute: SAM-Kontoname: HomeUsers SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4735: Eine sicherheitsaktivierte lokale Gruppe wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1001 Gruppenname: HomeUsers Gruppendomäne: Corsiar-200R-I5 Geänderte Attribute: SAM-Kontoname: - SID-Verlauf: - Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4732: Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1001 Gruppenname: HomeUsers Gruppendomäne: Corsiar-200R-I5 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4732: Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-500 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1001 Gruppenname: HomeUsers Gruppendomäne: Corsiar-200R-I5 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4728: Ein Mitglied einer sicherheitsaktivierten globalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-513 Gruppenname: None Gruppendomäne: Corsiar-200R-I5 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 13826 2013-10-20 18:34:15 Microsoft-Windows-Security-Auditing 4732: Ein Mitglied einer sicherheitsaktivierten lokalen Gruppe wurde hinzugefügt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Mitglied: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1002 Kontoname: - Gruppe: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1001 Gruppenname: HomeUsers Gruppendomäne: Corsiar-200R-I5 Weitere Informationen: Berechtigungen: - Sicherheit Audit Success 12544 2013-10-20 18:35:44 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:35:44 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:35:44 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:35:44 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 18:35:47 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf10 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x235a73 Sicherheit Audit Success 13568 2013-10-20 18:35:47 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf10 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x235a73 Sicherheit Audit Success 12544 2013-10-20 18:46:54 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:46:54 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 18:48:04 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:04 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x1cc Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:48:04 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:48:04 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 18:48:08 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x980 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x329e5b Sicherheit Audit Success 13568 2013-10-20 18:48:08 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: WIN-KIJS28SSM8K$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x980 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x329e5b Sicherheit Audit Success 103 2013-10-20 18:48:23 Microsoft-Windows-Eventlog 1100: Sicherheit Audit Success 12545 2013-10-20 18:48:23 Microsoft-Windows-Security-Auditing 4647: Benutzerinitiierte Abmeldung: Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x35bb7 Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden. Sicherheit Audit Success 12288 2013-10-20 18:48:48 Microsoft-Windows-Security-Auditing 4608: Windows wird gestartet. Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird. Sicherheit Audit Success 12544 2013-10-20 18:48:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 0 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x4 Prozessname: Netzwerkinformationen: Arbeitsstationsname: - Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: - Authentifizierungspaket: - Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:48:48 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 18:48:48 Microsoft-Windows-Security-Auditing 4902: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt. Anzahl von Elementen: 0 Richtlinienkennung: 0x8ac8 Sicherheit Audit Success 12290 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 5056: Ein Kryptografieselbsttest wurde ausgeführt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Modul: ncrypt.dll Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. Sicherheit Audit Success 12292 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4648: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x2dc Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Netzwerkadresse: 127.0.0.1 Port: 0 Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 2 Neue Anmeldung: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x194c8 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2dc Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: CORSIAR-200R-I5 Quellnetzwerkadresse: 127.0.0.1 Quellport: 0 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: S-1-5-7 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x26c92 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 18:48:49 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x194c8 Berechtigungen: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 18:48:55 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:48:55 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 18:49:50 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:49:50 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e69c93139553b500d9e8964bc0115946_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 18:50:00 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:50:00 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 18:50:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:50:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 18:51:00 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 18:51:00 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 18:51:41 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:51:41 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12288 2013-10-20 18:52:12 Microsoft-Windows-Security-Auditing 4616: Die Systemzeit wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Prozessinformationen: Prozess-ID: 0x3c0 Name: C:\Windows\System32\svchost.exe Vorherige Zeit: 2013-10-20T16:52:05.531543700Z Neue Zeit: 2013-10-20T16:52:12.212596700Z Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird. Sicherheit Audit Success 12288 2013-10-20 18:52:12 Microsoft-Windows-Security-Auditing 4616: Die Systemzeit wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Prozessinformationen: Prozess-ID: 0x3c0 Name: C:\Windows\System32\svchost.exe Vorherige Zeit: 2013-10-20T16:52:12.212596700Z Neue Zeit: 2013-10-20T16:52:12.212000000Z Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird. Sicherheit Audit Success 12288 2013-10-20 18:52:12 Microsoft-Windows-Security-Auditing 4616: Die Systemzeit wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Prozessinformationen: Prozess-ID: 0x3c0 Name: C:\Windows\System32\svchost.exe Vorherige Zeit: 2013-10-20T16:52:12.212000000Z Neue Zeit: 2013-10-20T16:52:12.212000000Z Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird. Sicherheit Audit Success 12544 2013-10-20 18:57:00 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x200 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 18:57:00 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 103 2013-10-20 19:00:14 Microsoft-Windows-Eventlog 1100: Sicherheit Audit Success 12545 2013-10-20 19:00:14 Microsoft-Windows-Security-Auditing 4647: Benutzerinitiierte Abmeldung: Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x194c8 Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden. Sicherheit Audit Success 12288 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4608: Windows wird gestartet. Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird. Sicherheit Audit Success 12290 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 5056: Ein Kryptografieselbsttest wurde ausgeführt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Modul: ncrypt.dll Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 0 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x4 Prozessname: Netzwerkinformationen: Arbeitsstationsname: - Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: - Authentifizierungspaket: - Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:00:45 Microsoft-Windows-Security-Auditing 4902: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt. Anzahl von Elementen: 0 Richtlinienkennung: 0x9e66 Sicherheit Audit Success 12292 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. Sicherheit Audit Success 12292 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 4648: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x368 Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Netzwerkadresse: 127.0.0.1 Port: 0 Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Sicherheit Audit Success 12544 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 2 Neue Anmeldung: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1b9ac Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x368 Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: CORSIAR-200R-I5 Quellnetzwerkadresse: 127.0.0.1 Quellport: 0 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: S-1-5-7 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x282cf Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:00:46 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1b9ac Berechtigungen: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:00:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:00:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 19:01:04 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:01:04 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e69c93139553b500d9e8964bc0115946_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 19:01:15 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:01:15 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 19:02:00 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:02:00 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 19:02:15 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:02:15 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 19:02:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:02:48 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:03:36 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:03:36 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:03:59 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:03:59 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:03:59 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:03:59 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12288 2013-10-20 19:04:02 Microsoft-Windows-Security-Auditing 4616: Die Systemzeit wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Prozessinformationen: Prozess-ID: 0x3e4 Name: C:\Windows\System32\svchost.exe Vorherige Zeit: 2013-10-20T17:04:02.394603900Z Neue Zeit: 2013-10-20T17:04:02.394000000Z Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird. Sicherheit Audit Success 13568 2013-10-20 19:04:03 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xeec Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0xff981 Sicherheit Audit Success 13568 2013-10-20 19:04:03 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xeec Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0xff981 Sicherheit Audit Success 12290 2013-10-20 19:06:41 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:06:41 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e69c93139553b500d9e8964bc0115946_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 19:06:42 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:06:42 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 19:06:55 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:06:55 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:07:04 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:07:04 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:07:07 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:07:07 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:07:34 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:07:34 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:08:01 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:08:01 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:08:04 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x134c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x342903 Sicherheit Audit Success 13568 2013-10-20 19:08:04 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x134c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x342903 Sicherheit Audit Success 13568 2013-10-20 19:08:54 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x134c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x385043 Sicherheit Audit Success 13568 2013-10-20 19:08:54 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x134c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x385043 Sicherheit Audit Success 12544 2013-10-20 19:08:55 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:08:55 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:08:55 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:08:55 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:08:55 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:08:55 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:09:19 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x134c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x3fdd26 Sicherheit Audit Success 13568 2013-10-20 19:09:19 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x134c Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x3fdd26 Sicherheit Audit Success 103 2013-10-20 19:09:41 Microsoft-Windows-Eventlog 1100: Sicherheit Audit Success 12544 2013-10-20 19:09:41 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x220 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12545 2013-10-20 19:09:41 Microsoft-Windows-Security-Auditing 4647: Benutzerinitiierte Abmeldung: Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1b9ac Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden. Sicherheit Audit Success 12548 2013-10-20 19:09:41 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12288 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4608: Windows wird gestartet. Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 0 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x4 Prozessname: Netzwerkinformationen: Arbeitsstationsname: - Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: - Authentifizierungspaket: - Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4648: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x3d4 Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Netzwerkadresse: 127.0.0.1 Port: 0 Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Sicherheit Audit Success 12544 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 2 Neue Anmeldung: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1eebf Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x3d4 Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: CORSIAR-200R-I5 Quellnetzwerkadresse: 127.0.0.1 Quellport: 0 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1eebf Berechtigungen: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:10:23 Microsoft-Windows-Security-Auditing 4902: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt. Anzahl von Elementen: 0 Richtlinienkennung: 0xba40 Sicherheit Audit Success 12290 2013-10-20 19:10:24 Microsoft-Windows-Security-Auditing 5056: Ein Kryptografieselbsttest wurde ausgeführt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Modul: ncrypt.dll Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:10:24 Microsoft-Windows-Security-Auditing 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. Sicherheit Audit Success 12292 2013-10-20 19:10:24 Microsoft-Windows-Security-Auditing 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 19:10:24 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:10:24 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: S-1-5-7 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x364ef Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:10:24 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:10:30 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2a0 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:10:30 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 19:10:49 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:10:49 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e69c93139553b500d9e8964bc0115946_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 19:11:00 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:11:00 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12545 2013-10-20 19:11:11 Microsoft-Windows-Security-Auditing 4647: Benutzerinitiierte Abmeldung: Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1eebf Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird. Es kann keine weitere benutzerinitiierte Aktivität erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden. Sicherheit Audit Success 103 2013-10-20 19:11:12 Microsoft-Windows-Eventlog 1100: Sicherheit Audit Success 12288 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4608: Windows wird gestartet. Dieses Ereignis wird protokolliert, wenn LSASS.EXE gestartet und das Überwachungssubsystem initialisiert wird. Sicherheit Audit Success 12544 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 0 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x4 Prozessname: Netzwerkinformationen: Arbeitsstationsname: - Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: - Authentifizierungspaket: - Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-20 Kontoname: NETZWERKDIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e4 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:11:51 Microsoft-Windows-Security-Auditing 4902: Eine Benutzerrichtlinien-Überwachungstabelle wurde erstellt. Anzahl von Elementen: 0 Richtlinienkennung: 0xcf5d Sicherheit Audit Success 12290 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 5056: Ein Kryptografieselbsttest wurde ausgeführt. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Modul: ncrypt.dll Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 5033: Der Windows-Firewalltreiber wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4648: Anmeldeversuch mit expliziten Anmeldeinformationen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Konto, dessen Anmeldeinformationen verwendet wurden: Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Zielserver: Zielservername: localhost Weitere Informationen: localhost Prozessinformationen: Prozess-ID: 0x3ec Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Netzwerkadresse: 127.0.0.1 Port: 0 Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden. Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird. Sicherheit Audit Success 12544 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 2 Neue Anmeldung: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1febf Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x3ec Prozessname: C:\Windows\System32\winlogon.exe Netzwerkinformationen: Arbeitsstationsname: CORSIAR-200R-I5 Quellnetzwerkadresse: 127.0.0.1 Quellport: 0 Detaillierte Authentifizierungsinformationen: Anmeldeprozess: User32 Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Berechtigungen: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-21-1135404196-3612289584-3250504439-1000 Kontoname: Rene Kontodomäne: Corsiar-200R-I5 Anmelde-ID: 0x1febf Berechtigungen: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:11:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12292 2013-10-20 19:11:53 Microsoft-Windows-Security-Auditing 5024: Der Windows-Firewalldienst wurde erfolgreich gestartet. Sicherheit Audit Success 12544 2013-10-20 19:11:53 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-0-0 Kontoname: - Kontodomäne: - Anmelde-ID: 0x0 Anmeldetyp: 3 Neue Anmeldung: Sicherheits-ID: S-1-5-7 Kontoname: ANONYMOUS-ANMELDUNG Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x365c5 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x0 Prozessname: - Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: NtLmSsp Authentifizierungspaket: NTLM Übertragene Dienste: - Paketname (nur NTLM): NTLM V1 Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:11:58 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:11:58 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12290 2013-10-20 19:12:18 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:12:18 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: 71973b17-820a-44d4-92d4-81ea43097a06 Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\e69c93139553b500d9e8964bc0115946_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12290 2013-10-20 19:12:28 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:12:28 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12544 2013-10-20 19:12:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:12:48 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:12:48 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:12:48 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:12:53 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xc34 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0xa1ba1 Sicherheit Audit Success 13568 2013-10-20 19:12:53 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xc34 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0xa1ba1 Sicherheit Audit Success 12290 2013-10-20 19:13:28 Microsoft-Windows-Security-Auditing 5061: Kryptografievorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: RSA Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Kryptografischer Vorgang: Vorgang: %%2480 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:13:28 Microsoft-Windows-Security-Auditing 5058: Schlüsseldateivorgang. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Kryptografische Parameter: Anbietername: Microsoft Software Key Storage Provider Algorithmusname: %%2432 Schlüsselname: {DE0E9A91-6D94-4782-89DD-F885B6CB5597} Schlüsseltyp: %%2499 Informationen zum Schlüsseldateivorgang: Dateipfad: C:\ProgramData\Microsoft\Crypto\Keys\32f83f21a4c8283e96348e4ae063dc01_3555edb9-b961-4e4d-8e83-30b72dfb664c Vorgang: %%2458 Rückgabecode: 0x0 Sicherheit Audit Success 12292 2013-10-20 19:14:01 Microsoft-Windows-Security-Auditing 6406: "Norton Internet Security" wurde in der Windows-Firewall registriert, um die Filterung nach Folgendem zu steuern: BootTimeRuleCategory, StealthRuleCategory, FirewallRuleCategory. Sicherheit Audit Success 12544 2013-10-20 19:14:01 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:14:01 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:14:52 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:14:52 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12288 2013-10-20 19:15:09 Microsoft-Windows-Security-Auditing 4616: Die Systemzeit wurde geändert. Antragsteller: Sicherheits-ID: S-1-5-19 Kontoname: LOKALER DIENST Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e5 Prozessinformationen: Prozess-ID: 0x188 Name: C:\Windows\System32\svchost.exe Vorherige Zeit: 2013-10-20T17:15:09.540817500Z Neue Zeit: 2013-10-20T17:15:09.540000000Z Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird. Sicherheit Audit Success 12544 2013-10-20 19:23:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:23:45 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:23:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:23:45 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:23:49 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x10a8 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x1315f7 Sicherheit Audit Success 13568 2013-10-20 19:23:49 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0x10a8 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x1315f7 Sicherheit Audit Success 12544 2013-10-20 19:35:03 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:35:03 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:35:38 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:35:38 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:35:38 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12548 2013-10-20 19:35:38 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:35:42 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x2681df Sicherheit Audit Success 13568 2013-10-20 19:35:42 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x2681df Sicherheit Audit Success 13568 2013-10-20 19:35:46 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x28cffb Sicherheit Audit Success 13568 2013-10-20 19:35:46 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x28cffb Sicherheit Audit Success 13568 2013-10-20 19:35:51 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x2b82ac Sicherheit Audit Success 13568 2013-10-20 19:35:51 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x2b82ac Sicherheit Audit Success 13568 2013-10-20 19:35:55 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x2e357f Sicherheit Audit Success 13568 2013-10-20 19:35:55 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x2e357f Sicherheit Audit Success 12544 2013-10-20 19:36:00 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:36:00 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:36:00 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x30fbe0 Sicherheit Audit Success 13568 2013-10-20 19:36:00 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x30fbe0 Sicherheit Audit Success 12544 2013-10-20 19:36:10 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:36:10 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 13568 2013-10-20 19:37:37 Microsoft-Windows-Security-Auditing 4904: Es wurde versucht, eine Sicherheitsereignisquelle zu registrieren. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x35de29 Sicherheit Audit Success 13568 2013-10-20 19:37:37 Microsoft-Windows-Security-Auditing 4905: Es wurde versucht, die Registrierung einer Sicherheitsereignisquelle aufzuheben. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Prozess: Prozess-ID: 0xf60 Prozessname: C:\Windows\System32\VSSVC.exe Ereignisquelle: Quellenname: VSSAudit Ereignisquellen-ID: 0x35de29 Sicherheit Audit Success 12544 2013-10-20 19:40:50 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12548 2013-10-20 19:40:50 Microsoft-Windows-Security-Auditing 4672: Einer neuen Anmeldung wurden besondere Rechte zugewiesen. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Berechtigungen: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Sicherheit Audit Success 12544 2013-10-20 19:48:00 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an. - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0. Sicherheit Audit Success 12544 2013-10-20 19:48:00 Microsoft-Windows-Security-Auditing 4624: Ein Konto wurde erfolgreich angemeldet. Antragsteller: Sicherheits-ID: S-1-5-18 Kontoname: CORSIAR-200R-I5$ Kontodomäne: WORKGROUP Anmelde-ID: 0x3e7 Anmeldetyp: 5 Neue Anmeldung: Sicherheits-ID: S-1-5-18 Kontoname: SYSTEM Kontodomäne: NT-AUTORITÄT Anmelde-ID: 0x3e7 Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Prozessinformationen: Prozess-ID: 0x2b8 Prozessname: C:\Windows\System32\services.exe Netzwerkinformationen: Arbeitsstationsname: Quellnetzwerkadresse: - Quellport: - Detaillierte Authentifizierungsinformationen: Anmeldeprozess: Advapi Authentifizierungspaket: Negotiate Übertragene Dienste: - Paketname (nur NTLM): - Schlüssellänge: 0 Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde. Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe". Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk). Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto. Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben. Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung. - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren. - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren. - Der Paketname gibt das in den NTL