Haufenweise Windows-Ereignisse 4624, 4672 und 5379

[infoholicer]

Guten Abend,

bei mir im Heimnetzwerk konnte ich an 3 Computern feststellen (die anderen konnte ich noch nicht prüfen), dass haufenweise die Ereignisse 4624, 4672 und 5379 protokolliert werden. Leider konnte ich dazu noch keine zufriedenstellende Ursache im Netz finden.

Ereignis-ID 4624
Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
    Sicherheits-ID:        SYSTEM
    Kontoname:        XXXX
    Kontodomäne:        XXXX
    Anmelde-ID:        0x3E7

Anmeldeinformationen:
    Anmeldetyp:        5
    Eingeschränkter Administratormodus:    -
    Virtuelles Konto:        Nein
    Token mit erhöhten Rechten:        Ja

Identitätswechselebene:        Identitätswechsel

Neue Anmeldung:
    Sicherheits-ID:        SYSTEM
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3E7
    Verknüpfte Anmelde-ID:        0x0
    Netzwerk-Kontoname:    -
    Netzwerk-Kontodomäne:    -
    Anmelde-GUID:        {00000000-0000-0000-0000-000000000000}

Prozessinformationen:
    Prozess-ID:        0x2f4
    Prozessname:        C:\Windows\System32\services.exe

Netzwerkinformationen:
    Arbeitsstationsname:    -
    Quellnetzwerkadresse:    -
    Quellport:        -

Detaillierte Authentifizierungsinformationen:
    Anmeldeprozess:        Advapi 
    Authentifizierungspaket:    Negotiate
    Übertragene Dienste:    -
    Paketname (nur NTLM):    -
    Schlüssellänge:        0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
    - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
    - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
    - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
    - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.





Ereignis-ID 4672
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
    Sicherheits-ID:        SYSTEM
    Kontoname:        SYSTEM
    Kontodomäne:        NT-AUTORITÄT
    Anmelde-ID:        0x3E7

Berechtigungen:        SeAssignPrimaryTokenPrivilege
            SeTcbPrivilege
            SeSecurityPrivilege
            SeTakeOwnershipPrivilege
            SeLoadDriverPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege
            SeAuditPrivilege
            SeSystemEnvironmentPrivilege
            SeImpersonatePrivilege
            SeDelegateSessionUserImpersonatePrivilege





Ereignis-ID 5379

Die Anmeldeinformationen in der Anmeldeinformationsverwaltung wurden gelesen.

Antragsteller:
    Sicherheits-ID:         XXXX
    Kontoname:         XXXX
    Kontodomäne:         XXXX
    Anmelde-ID:         0x4D3410C
    Lesevorgang:         Anmeldeinformationen lesen

Dieses Ereignis tritt auf, wenn ein Benutzer einen Lesevorgang für in der Anmeldeinformationsverwaltung gespeicherte Anmeldeinformationen ausführt.

Teilweise wurde Advapi (in den Ereignissen als Anmeldeprozess aufgeführt) als Virus bezeichnet, teilweise als Bestandteil von Windows.

Bin absolut ratlos. Hat jemand von euch eine mögliche Erklärung, wodurch diese ausgelöst werden könnten? Ist da eventuell was, was nicht dahin gehört?

Grüße

 

[Hanne]

https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-4624

u.a.

 

[BFF]

Such einfach mal danach, wer der Benutzer SYSTEM ist auf einem WINDOWS-PC.
Das erklaert schon einmal warum der sich anmelden muss.

Wegen der services.exe die per Advapi (Advapi32.dll) Dienste starten/anmelden will lies mal hier.

https://www.bleepingcomputer.com/fo...-in-eventvwr-something-to-be-concerned-about/

BFF

P.S.
Danke @Hanne fuer das posten des Links. Den hab ich nicht wieder gefunden. 👍

 

[Hanne]

https://docs.microsoft.com/de-de/windows/security/threat-protection/auditing/event-5376

o.a.

 

[wtfhax]

@infoholicer konntest du eine lösung finden? denn ich habe ein ähnliches problem. die ereignisanzeige ist voll mit Event IDs: 4624, 4672 und 5379

Egal welches Programm ich starte, jedesmal taucht die Event ID: 5379 auf. Manchmal sogar 20x hintereinander. Keine ahnung was das sein könnte.

Also falls du eine lösung damals gefunden hattest, lass es mich bitte wissen .

 

[BFF]

Schau mal nach ob Du im Ereignisprotokoll unter System die gelben Hinweise hast mit DistributedCom und Event ID 10016. @wtfhax

Zu denen gehoert z.B. die Event ID 5379 im Security Ereignisprotokoll. Also keine Panik bekommen.

Anyway.
Es ist so, dass das was ihr da findet einfach mal voll normal ist.
Ja, auch die gelben Warndreiecke bei ID 10016 sind voellig normal bei W10.
Irgendwer hier bei CB hat mal beschrieben, wie man diese ausblenden kann.
Hier war es . Gerade gefunden.
-> https://www.computerbase.de/forum/threads/distributedcom-10016.1868000/

BFF