Ahoana ny fomba fandikana ny Windows Security Event ID 4688 amin'ny fanadihadiana

Mba handikana ny hetsika ID 4688, dia zava-dehibe ny mahatakatra ireo sehatra samihafa tafiditra ao amin'ny diarin'ny hetsika. Ireo saha ireo dia azo ampiasaina hamantarana izay tsy fanarahan-dalàna ary hanaraha-maso ny niandohan'ny dingana iray hiverina any amin'ny loharano.

• Lohahevitra Mpamorona: ity sehatra ity dia manome fampahalalana momba ny kaonty mpampiasa nangataka ny famoronana dingana vaovao. Ity sehatra ity dia manome teny manodidina ary afaka manampy ireo mpanao famotorana forensika hamantatra ny tsy mety. Izy io dia ahitana subfields maromaro, ao anatin'izany:

• • Security Identifier (SID)” araka ny Microsoft, ny SID dia sanda tokana ampiasaina hamantarana ny tompon'andraikitra. Izy io dia ampiasaina hamantarana ireo mpampiasa amin'ny milina Windows.
  • Anaran'ny kaonty: ny SID dia tapa-kevitra ny hampiseho ny anaran'ny kaonty izay nanomboka ny famoronana ny dingana vaovao.
  • Kaonty Domain: ny sehatra misy ny solosaina.
  • Logon ID: sanda hexadecimal tokana ampiasaina hamantarana ny fivorian'ny mpampiasa. Azo ampiasaina hampifandray ireo hetsika izay misy ID hetsika mitovy.

• Lohahevitra kendrena: ity sehatra ity dia manome fampahalalana momba ny kaonty mpampiasa izay iasan'ny dingana. Ny lohahevitra voalaza ao amin'ny hetsika famoronana dingana dia mety, amin'ny toe-javatra sasany, tsy mitovy amin'ny lohahevitra voalaza ao amin'ny hetsika fampitsaharana ny dingana. Noho izany, rehefa tsy mitovy ny logon ny mpamorona sy ny kendrena, dia zava-dehibe ny mampiditra ny foto-kevitra kendrena na dia samy manondro ny ID dingana mitovy aza izy ireo. Mitovy amin'ny an'ny lohahevitry ny mpamorona etsy ambony ny zana-tany.
• Fampahalalana momba ny dingana: ity sehatra ity dia manome fampahalalana amin'ny antsipiriany momba ny dingana noforonina. Izy io dia ahitana subfields maromaro, ao anatin'izany:

• • New Process ID (PID): sanda hexadecimal tokana nomena ny dingana vaovao. Ny rafitra miasa Windows dia mampiasa azy io mba hanaraha-maso ireo dingana mavitrika.
  • Anaran'ny dingana vaovao: ny lalana feno sy ny anaran'ny rakitra azo tanterahana izay natomboka mba hamoronana ny dingana vaovao.
  • Karazana fanombanana ny famantarana: ny fanombanana famantarana dia rafitra fiarovana ampiasain'ny Windows hamaritana raha mahazo alalana hanao hetsika manokana ny kaonty mpampiasa iray. Antsoina hoe “karazana fanombanana token” ny karazana famantarana hampiasain'ny dingana iray hangataka tombontsoa ambony. Misy sanda telo mety ho an'ity sehatra ity. Ny karazana 1 (%%1936) dia manondro fa ny dingana dia mampiasa ny mari-pamantarana mpampiasa default ary tsy nangataka alalana manokana. Ho an'ity sehatra ity dia io no sanda mahazatra indrindra. Ny karazana 2 (%%1937) dia manondro fa ny dingana dia nangataka tombontsoa feno ho an'ny mpitantana ary nahomby tamin'ny fahazoana azy ireo. Rehefa mampiasa fampiharana na dingana amin'ny maha-mpitantana azy ny mpampiasa dia alefa izany. Ny karazana 3 (%%1938) dia manondro fa ny dingana dia tsy nahazo afa-tsy ny zo takiana hanatanterahana ny hetsika nangatahana, na dia nangataka tombontsoa ambony aza.

• • Label tsy maintsy atao: mari-pamantarana momba ny fahamendrehana nomena ny dingana. 
  • Creator Process ID: sanda hexadecimal tokana nomena ny dingana izay nanomboka ny dingana vaovao. 
  • Anaran'ny fizotran'ny mpamorona: lalana feno sy anaran'ny dingana namoronana ny dingana vaovao.
  • Process Command Line: manome tsipiriany momba ny hevitra nampidirina tao amin'ny baiko hanombohana ny dingana vaovao. Ahitana sehatra maromaro ao anatin'izany ny lahatahiry sy hashes ankehitriny.