反馈

4688(S):已新建进程。

  • 项目
Event 4688 illustration

子类别: 审核过程创建

事件说明:

每次启动新进程时都会生成此事件。

[注意事项]有关建议,请参阅此事件的安全监控建议


事件 XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4688</EventID> 
 <Version>2</Version> 
 <Level>0</Level> 
 <Task>13312</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-11-12T02:24:52.377352500Z" /> 
 <EventRecordID>2814</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="400" /> 
 <Channel>Security</Channel> 
 <Computer>WIN-GG82ULGC9GO.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="NewProcessId">0x2bc</Data> 
 <Data Name="NewProcessName">C:\\Windows\\System32\\rundll32.exe</Data> 
 <Data Name="TokenElevationType">%%1938</Data> 
 <Data Name="ProcessId">0xe74</Data> 
 <Data Name="CommandLine" /> 
 <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-1104</Data> 
 <Data Name="TargetUserName">dadmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x4a5af0</Data> 
 <Data Name="ParentProcessName">C:\\Windows\\explorer.exe</Data> 
 <Data Name="MandatoryLabel">S-1-16-8192</Data> 
 </EventData>
</Event>

所需的服务器角色: 无。

操作系统的最低版本: Windows Server 2008、Windows Vista。

事件版本:

  • 0 - Windows Server 2008, Windows Vista。

  • 1 - Windows Server 2012 R2, Windows 8.1。

    • 添加了“进程命令行”字段。

  • 2 - Windows 10。

    • 使用者重命名为创建者使用者

    • 添加了“目标使用者”部分。

    • 添加了“强制标签”字段。

    • 添加了“创建者进程名称”字段。

字段描述:

创建者使用者 [Value for versions 0 and 1 – Subject]:

  • 安全 ID [Type = SID] 请求“创建进程”操作的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。

[注意]安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符

  • 帐户名称 [Type = UnicodeString] 请求“创建进程”操作的帐户的名称。

  • 帐户域 [Type = UnicodeString] 使用者的域或计算机名称。 格式各不相同,包括以下内容:

    • 域 NETBIOS 名称示例: CONTOSO

    • 小写完整域名: contoso.local

    • 大写完整域名:CONTOSO.LOCAL

    • 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为“NT AUTHORITY”。

    • 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。

  • 登录 ID \ [Type = HexInt64 ] 十六进制值,可帮助将此事件与可能包含相同登录 ID 的最新事件(例如,“4624:帐户已成功登录”)相关联。

目标使用者 [Version 2]

[注意]此事件包括过程创建者的主体,但如果目标上下文不同于创建者上下文,则这并不总是足够的。 在这种情况下,即使两个事件引用同一进程 ID,进程终止事件中指定的使用者与进程创建事件中的使用者不匹配。 因此,除了包括进程的创建者之外,我们还将在创建者和目标不共享相同登录时包含目标主体。

  • 安全 ID [Type = SID] [Version 2] 目标账户 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。

[注意]安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符

  • 账户名称 [Type = UnicodeString] [Version 2] 目标账户的名称。

  • 帐户域 [Type = UnicodeString] [Version 2] 目标帐户的域或计算机名称。 格式各不相同,包括以下内容:

    • 域 NETBIOS 名称示例: CONTOSO

    • 小写完整域名: contoso.local

    • 大写完整域名:CONTOSO.LOCAL

    • 对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为“NT AUTHORITY”。

    • 对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。

  • 登录 ID [Type = HexInt64] [Version 2] 十六进制值,可帮助将此事件与可能包含相同登录 ID 的最新事件(例如“4624:帐户已成功登录”)相关联。

进程信息:

  • 新进程 ID [Type = Pointer]:新进程的十六进制进程 ID。 进程 ID (PID) 是操作系统用来唯一标识活动进程的数字。 例如,若要查看特定进程的 PID,可使用任务管理器(“详细信息”选项卡,PID 列):

    Task manager illustration

如果将十六进制值转换为十进制,则可以将其与任务管理器中的值进行比较。

  • 新进程名称 [Type = UnicodeString] 新进程的完整路径和可执行文件的名称。

  • 令牌提升类型 [Type = UnicodeString]:

    • %%1936: 类型 1 是未删除权限或禁用组的完整令牌。 仅当禁用了用户帐户控制或用户是内置管理员帐户(默认情况下禁用 UAC),服务帐户或本地系统帐户时,才使用完整令牌。

    • %%1937: 类型 2 是未删除权限或未禁用组的提升的令牌。 当启用了用户帐户控制并且用户选择使用“以管理员身份运行”启动程序时,会使用提升令牌。 当应用程序已配置为始终需要管理特权或始终需要最高特权并且用户是管理员组的成员时,也会使用提升令牌。

    • %%1938: 类型 3 是删除了管理权限并禁用了管理组的受限令牌。 当启用了用户帐户控制,应用程序不需要管理特权并且用户未选择使用“以管理员身份运行”启动程序时,会使用受限令牌。

  • 强制标签 [Version 2] [Type = SID] 分配给新进程的完整性标签 SID。 可以具有以下值之一:

SID RID RID 标签 含义
S-1-16-0 0x00000000 SECURITY_MANDATORY_UNTRUSTED_RID 不受信任。
S-1-16-4096 0x00001000 SECURITY_MANDATORY_LOW_RID 低完整性。
S-1-16-8192 0x00002000 SECURITY_MANDATORY_MEDIUM_RID 中完整性。
S-1-16-8448 0x00002100 SECURITY_MANDATORY_MEDIUM_PLUS_RID 中高完整性。
S-1-16-12288 0X00003000 SECURITY_MANDATORY_HIGH_RID 高完整性。
S-1-16-16384 0x00004000 SECURITY_MANDATORY_SYSTEM_RID 系统完整性。
S-1-16-20480 0x00005000 SECURITY_MANDATORY_PROTECTED_PROCESS_RID 受保护进程。
  • 创建者进程 ID [Type = Pointer] 运行新进程的进程的十六进制进程 ID。 如果将十六进制值转换为十进制,则可以将其与任务管理器中的值进行比较。

还可以将此进程 ID 与其他事件(例如“4688:已创建新进程”)中的进程 ID 相关联,进程信息\新进程 ID

  • 创建者进程名称 [Version 2] [Type = UnicodeString] 进程的完整路径和可执行文件的名称。

  • 进程命令行 [Version 1, 2] [Type = UnicodeString] 包含传递给它的可执行文件和参数的名称。 必须启用“管理模板\系统\审核进程创建\在进程创建事件中加入命令行”组策略,才能在进程创建事件中包含命令行:

    Group policy illustration

    默认情况下,Process Command Line 字段为空。

安全监控建议

对于 4688 S:已新建进程。

所需的监视类型 建议
高价值帐户:可能需要监视每个操作的高价值域或本地帐户。
高价值帐户示例包括数据库管理员、内置本地管理员帐户、域管理员、服务帐户、域控制器帐户等。		 监视 “创建者使用者\安全 ID”“目标使用者\安全 ID” 与一个或多个高价值帐户对应的所有事件。
异常或恶意操作:可能对检测异常或监视潜在的恶意行为有特定要求。 例如,可能需要在工作时间以外监视帐户的使用。 监视异常或恶意行为时,请使用 “创建者使用者\安全 ID”“目标使用者\安全 ID”(以及其他信息)来监视使用特定帐户的方式或时间。
非活动帐户:可能有非活动帐户,禁用帐户或访客帐户,或者其他不应使用的帐户。 通过 “创建者主体\安全 ID” 或与永不应使用的账户相对应的 “目标主体\安全 ID” 监视所有事件。
帐户允许列表:可能有一个特定的帐户允许列表,这是唯一允许执行与特定事件相对应操作的帐户。 如果此事件对应于"仅允许列表"操作,请查看" 创建者主题\安全 ID""目标主题 \安全 ID",查看允许列表之外的帐户。
不同类型的帐户:可能要确保某些操作仅由某些帐户类型执行,例如本地或域帐户、计算机或用户帐户、供应商或雇员帐户等。 如果此事件对应于要为某些帐户类型监视的操作,请查看 “创建者使用者\安全 ID”“目标使用者\安全 ID”,了解帐户类型是否与预期相同。
外部帐户:你可能正在监视来自另一个域的帐户,或者是不允许执行某些操作(由某些特定事件表示)的“外部”帐户。 针对与来自另一个域的帐户或“外部”帐户对应的 “创建者使用者\安全 ID”“目标使用者\安全 ID” 来监视特定事件。
受限使用的计算机或设备:可能拥有某些计算机、机器或设备,某些热暖(帐户)通常不应在其上执行任何操作。 监视目标计算机:(或其他目标设备),以了解自己所关注的 “创建者使用者\安全 ID”“目标使用者\安全 ID” 所执行的操作。
帐户命名约定:组织可能对帐户名称具有特定的命名约定。 监视 “创建者使用者\安全 ID”“目标使用者\安全 ID”,以找出不符合命名约定的名称。

  • 如果针对此事件中报告的进程具有预定义的“新****进程名称”或 “创建者进程名称”,请监视“新****进程名称”或 “创建者进程名称”不等于你定义的值的所有事件。

  • 可通过监视来了解“新****进程名称”或 “创建者进程名称”是否不在标准文件夹中(例如,不在 System32Program Files 中)或是否在受限制的文件夹中(例如 Temporary Internet Files)。

  • 如果你有一个预定义的进程名称禁用子字符串或单词(例如 “mimikatz”或“cain.exe”)列表,请检查“新****进程名称”或 “创建者进程名称”中是否存在这些子字符串。

  • 使用 Creator Subject\Security IDTarget Subject\Security ID 中的本地帐户运行进程可能不常见。

  • 使用者\安全 ID 列出真实用户帐户时(例如当帐户名称不包含符号 $ 时),监视值为 %%1936令牌提升类型。 通常,这意味着出于某种原因,此帐户禁用了 UAC。

  • 使用者\安全 ID 列出真实用户帐户时(例如帐户名称不包含符号 $ 时),在标准工作站上监视值为 %%1937令牌提升类型。 这意味着用户使用管理特权运行程序。

  • 当使用计算机对象运行进程,但该计算机对象与事件发生位置的计算机不同时,还可在标准工作站上监视值为 %%1937令牌提升类型

  • 如果需要监视具有特定强制标签(例如 S-1-16-20480,表示受保护的进程)的所有新进程,请在此事件中检查“强制标签”。