希望了解添加到 Windows 10 中的安全审核事件的 TargetLinkedLogonId(以及配对登录会话的相关概念)参考:https ://docs.microsoft.com/en-us/windows/device-security/auditing/event- 4624
使用本地管理员帐户登录到 Windows 10 的控制台(交互式)会产生以下事件:
4648(使用显式凭据登录尝试)
- SubjectLogonId = 0x3e7
4624(登录成功)
- SubjectLogonId = 0x327
- TargetLogonId = 0xbe87a9
- TargetLinkedLogonId = 0xbe87cc
- ElevatedToken = 是
4624(登录成功)
- SubjectLogonId = 0x327
- TargetLogonId = 0xbe87cc
- TargetLinkedLogonId = 0xbe87a9
- ElevatedToken = 否
4672(分配的特殊特权)
- SubjectLogonId = 0xbe87a9
所以有两个与登录尝试事件匹配的登录成功事件,每个都有不同的会话(不同的 TargetLogonId)。这两个会话相互链接 (TargetLinkedLogonId)。奇怪的是,4672(特殊权限)事件与 ElevatedToken=No 的 4624 事件相关联。使用提升令牌的会话不会是获得特殊特权的会话吗?
同样一般来说,为什么要为本地管理员登录创建两个会话?