Event ID 4798:已枚举用户的本地组成员身份

grok提问问题

日志名称    事件类型    类别    创建时间    用户    来源    描述
安全性    Audit Success    13824    2025-04-06 01:03:48        Microsoft-Windows-Security-Auditing    4798: 已枚举用户的本地组成员身份。    使用者:   安全 ID:  S-1-5-18   帐户名称:  MAX2-AT$   帐户域:  WORKGROUP   登录 ID:  0x3e7    用户:   安全 ID:  S-1-5-21-3053967498-3421766977-2690570858-500   帐户名称:  Administrator   帐户域:  MAX2-AT    进程信息:   进程 ID:  0x54e0   进程名称:  C:\Windows\System32\taskhostw.exe  
安全性    Audit Success    13824    2025-04-06 01:03:48        Microsoft-Windows-Security-Auditing    4798: 已枚举用户的本地组成员身份。    使用者:   安全 ID:  S-1-5-18   帐户名称:  MAX2-AT$   帐户域:  WORKGROUP   登录 ID:  0x3e7    用户:   安全 ID:  S-1-5-21-3053967498-3421766977-2690570858-1001   帐户名称:  cat   帐户域:  MAX2-AT    进程信息:   进程 ID:  0x54e0   进程名称:  C:\Windows\System32\taskhostw.exe  
安全性    Audit Success    12544    2025-04-06 01:04:51        Microsoft-Windows-Security-Auditing    4624: 已成功登录帐户。    使用者:   安全 ID:  S-1-5-18   帐户名称:  MAX2-AT$   帐户域:  WORKGROUP   登录 ID:  0x3e7    登录信息:   登录类型:  5   受限制的管理员模式: -   虚拟帐户:  %%1843   提升的令牌:  %%1842    模拟级别:  %%1833    新登录:   安全 ID:  S-1-5-18   帐户名称:  SYSTEM   帐户域:  NT AUTHORITY   登录 ID:  0x3e7   链接的登录 ID:  0x0   网络帐户名称: -   网络帐户域: -   登录 GUID:  {00000000-0000-0000-0000-000000000000}    进程信息:   进程 ID:  0x44c   进程名称:  C:\Windows\System32\services.exe    网络信息:   工作站名称: -   源网络地址: -   源端口:  -    详细的身份验证信息:   登录进程:  Advapi     身份验证数据包: Negotiate   传递的服务: -   数据包名(仅限 NTLM): -   密钥长度:  0    创建登录会话时,将在被访问的计算机上生成此事件。    “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。    “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。    “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。    “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。    “模拟级别”字段指示登录会话中的进程可以模拟到的程度。    “身份验证信息”字段提供有关此特定登录请求的详细信息。   - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。   -“传递的服务”指示哪些中间服务参与了此登录请求。   -“数据包名”指示在 NTLM 协议中使用了哪些子协议。   -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。  
安全性    Audit Success    12548    2025-04-06 01:04:51        Microsoft-Windows-Security-Auditing    4672: 为新登录分配了特殊权限。    使用者:   安全 ID:  S-1-5-18   帐户名:  SYSTEM   帐户域:  NT AUTHORITY   登录 ID:  0x3e7    特权:  SeAssignPrimaryTokenPrivilege     SeTcbPrivilege     SeSecurityPrivilege     SeTakeOwnershipPrivilege     SeLoadDriverPrivilege     SeBackupPrivilege     SeRestorePrivilege     SeDebugPrivilege     SeAuditPrivilege     SeSystemEnvironmentPrivilege     SeImpersonatePrivilege     SeDelegateSessionUserImpersonatePrivilege  
安全性    Audit Success    12554    2025-04-06 01:04:51        Microsoft-Windows-Security-Auditing    4627: 组成员身份信息。    使用者:   安全 ID:  S-1-5-18   帐户名称:  MAX2-AT$   帐户域:  WORKGROUP   登录 ID:  0x3e7    登录类型:   5    新登录:   安全 ID:  S-1-5-18   帐户名称:  SYSTEM   帐户域:  NT AUTHORITY   登录 ID:  0x3e7    事件顺序:  1/1    组成员身份:       %{S-1-5-32-544}    %{S-1-1-0}    %{S-1-5-11}    %{S-1-16-16384}    “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。    “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。    “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。    配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。  
安全性    Audit Success    12544    2025-04-06 01:05:23        Microsoft-Windows-Security-Auditing    4624: 已成功登录帐户。    使用者:   安全 ID:  S-1-5-18   帐户名称:  MAX2-AT$   帐户域:  WORKGROUP   登录 ID:  0x3e7    登录信息:   登录类型:  5   受限制的管理员模式: -   虚拟帐户:  %%1843   提升的令牌:  %%1842    模拟级别:  %%1833    新登录:   安全 ID:  S-1-5-18   帐户名称:  SYSTEM   帐户域:  NT AUTHORITY   登录 ID:  0x3e7   链接的登录 ID:  0x0   网络帐户名称: -   网络帐户域: -   登录 GUID:  {00000000-0000-0000-0000-000000000000}    进程信息:   进程 ID:  0x44c   进程名称:  C:\Windows\System32\services.exe    网络信息:   工作站名称: -   源网络地址: -   源端口:  -    详细的身份验证信息:   登录进程:  Advapi     身份验证数据包: Negotiate   传递的服务: -   数据包名(仅限 NTLM): -   密钥长度:  0    创建登录会话时,将在被访问的计算机上生成此事件。    “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。    “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。    “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。    “网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。    “模拟级别”字段指示登录会话中的进程可以模拟到的程度。    “身份验证信息”字段提供有关此特定登录请求的详细信息。   - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。   -“传递的服务”指示哪些中间服务参与了此登录请求。   -“数据包名”指示在 NTLM 协议中使用了哪些子协议。   -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。  
安全性    Audit Success    12548    2025-04-06 01:05:23        Microsoft-Windows-Security-Auditing    4672: 为新登录分配了特殊权限。    使用者:   安全 ID:  S-1-5-18   帐户名:  SYSTEM   帐户域:  NT AUTHORITY   登录 ID:  0x3e7    特权:  SeAssignPrimaryTokenPrivilege     SeTcbPrivilege     SeSecurityPrivilege     SeTakeOwnershipPrivilege     SeLoadDriverPrivilege     SeBackupPrivilege     SeRestorePrivilege     SeDebugPrivilege     SeAuditPrivilege     SeSystemEnvironmentPrivilege     SeImpersonatePrivilege     SeDelegateSessionUserImpersonatePrivilege  
安全性    Audit Success    12554    2025-04-06 01:05:23        Microsoft-Windows-Security-Auditing    4627: 组成员身份信息。    使用者:   安全 ID:  S-1-5-18   帐户名称:  MAX2-AT$   帐户域:  WORKGROUP   登录 ID:  0x3e7    登录类型:   5    新登录:   安全 ID:  S-1-5-18   帐户名称:  SYSTEM   帐户域:  NT AUTHORITY   登录 ID:  0x3e7    事件顺序:  1/1    组成员身份:       %{S-1-5-32-544}    %{S-1-1-0}    %{S-1-5-11}    %{S-1-16-16384}    “使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。    “登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。    “新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。    配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。  

这些事件是什么意思,为什么在笔记本睡眠期间,凌晨频繁的记录这类事件。这是一组时间相近的事件记录,供分析

grok回答

根据你提供的一组时间相近的安全日志(时间集中在 2025 年 4 月 6 日凌晨 1:03:48 至 1:05:23),我们可以分析这些事件的含义、触发原因以及它们之间的关联性。以下是详细的分析:

日志概览

这些日志包含以下事件类型:

  1. Event ID 4798(已枚举用户的本地组成员身份):两次记录,分别针对用户“Administrator”和“cat”。
  2. Event ID 4624(已成功登录帐户):两次记录,均为 SYSTEM 账户的登录。
  3. Event ID 4672(为新登录分配了特殊权限):两次记录,与 4624 事件关联。
  4. Event ID 4627(组成员身份信息):两次记录,记录 SYSTEM 账户的组成员身份。

时间点:

  • 1:03:48:两个 4798 事件。
  • 1:04:51:一组 4624、4672、4627 事件。
  • 1:05:23:另一组 4624、4672、4627 事件。

1. 事件分析

(1) Event ID 4798 - 已枚举用户的本地组成员身份

  • 时间:2025-04-06 01:03:48
  • 细节
    • 使用者:SYSTEM(S-1-5-18),帐户名 MAX2-AT$(计算机账户)。
    • 目标用户
      • 第一个事件:Administrator(S-1-5-21-...-500)。
      • 第二个事件:cat(S-1-5-21-...-1001)。
    • 进程:C:\Windows\System32\taskhostw.exe(进程 ID: 0x54e0)。
  • 含义:系统通过 taskhostw.exe 查询了本地用户“Administrator”和“cat”的组成员身份(例如是否属于 Administrators 或 Users 组)。
  • 触发原因:通常由计划任务或服务触发,可能是系统在验证账户权限或执行维护操作。

(2) Event ID 4624 - 已成功登录帐户

  • 时间:2025-04-06 01:04:51 和 01:05:23
  • 细节
    • 使用者:SYSTEM(S-1-5-18),帐户名 MAX2-AT$。
    • 新登录:SYSTEM(S-1-5-18),帐户域 NT AUTHORITY。
    • 登录类型:5(服务登录)。
    • 进程:C:\Windows\System32\services.exe(进程 ID: 0x44c)。
  • 含义:系统账户(SYSTEM)以服务方式成功登录。这通常是服务启动或系统进程运行的结果。
  • 触发原因:可能是某个 Windows 服务(如 Windows Update 或自动维护)在后台启动。

(3) Event ID 4672 - 为新登录分配了特殊权限

  • 时间:2025-04-06 01:04:51 和 01:05:23
  • 细节
    • 使用者:SYSTEM(S-1-5-18)。
    • 特权:包括 SeTcbPrivilege、SeDebugPrivilege 等高级权限。
  • 含义:为新登录的 SYSTEM 账户分配了特殊权限,这些权限允许 SYSTEM 执行高级操作(如加载驱动、备份还原等)。
  • 触发原因:与 4624 事件配对,表示 SYSTEM 登录后获得了执行系统任务所需的权限。

(4) Event ID 4627 - 组成员身份信息

  • 时间:2025-04-06 01:04:51 和 01:05:23
  • 细节
    • 使用者:SYSTEM(S-1-5-18),帐户名 MAX2-AT$。
    • 新登录:SYSTEM(S-1-5-18)。
    • 组成员身份:包括 Administrators(S-1-5-32-544)、Everyone(S-1-1-0)等。
  • 含义:记录了 SYSTEM 账户的组成员身份,通常与 4624 登录事件关联。
  • 触发原因:系统在登录时记录账户的权限范围,供审计使用。

2. 事件之间的关联性

  • 时间序列
    1. 01:03:48:taskhostw.exe 查询了“Administrator”和“cat”的组成员身份(4798)。
    2. 01:04:51:SYSTEM 通过 services.exe 登录(4624),分配权限(4672),并记录组成员身份(4627)。
    3. 01:05:23:SYSTEM 再次登录并重复上述过程。
  • 逻辑关系
    • 4798 事件:可能是系统唤醒后,taskhostw.exe 执行计划任务(如自动维护),需要验证本地用户权限。
    • 4624/4672/4627 事件:随后,某个服务(由 services.exe 启动)以 SYSTEM 身份登录,可能是为了执行更具体的任务(如更新、优化或同步)。

3. 为什么在睡眠期间频繁发生?

结合日志和时间点,这些事件在凌晨(睡眠期间)频繁记录的原因可能包括:

(1) Windows 自动维护

  • Windows 的“自动维护”功能默认在凌晨运行(通常 2:00 AM 或 3:00 AM),会在系统空闲或睡眠时唤醒设备。
  • 证据
    • taskhostw.exe 是计划任务的宿主,可能触发了 4798 事件。
    • services.exe 是服务管理进程,可能启动了后续的 SYSTEM 登录(4624)。
  • 行为:维护任务可能检查用户权限(4798),然后启动服务执行具体操作(4624/4672/4627)。

(2) 现代睡眠模式(Modern Standby)

  • 笔记本可能使用 S0ix 状态(低功耗活跃状态),允许系统定期唤醒以处理后台任务。
  • 证据:事件时间间隔(1:03:48 到 1:05:23)表明系统在睡眠期间多次短暂唤醒。
  • 行为:每次唤醒可能触发计划任务或服务,导致日志记录。

(3) 电源设置中的唤醒计时器

  • “允许唤醒计时器”(Wake Timers)可能启用,导致计划任务在睡眠时激活系统。
  • 证据:事件集中在凌晨,符合默认维护时间。

(4) 审计策略

  • “审核账户管理”和“审核登录”策略已启用,导致每次权限查询和登录都被记录。
  • 证据:4798(组枚举)、4624(登录)、4672(权限分配)、4627(组成员身份)都被详细记录。

4. 综合分析

  • 触发流程
    1. 系统在 01:03:48 唤醒,taskhostw.exe 执行计划任务,查询“Administrator”和“cat”的组成员身份(可能是验证权限)。
    2. 在 01:04:51,某个服务(由 services.exe 启动)以 SYSTEM 身份登录,执行后续任务。
    3. 在 01:05:23,类似的操作再次发生,可能是任务的第二阶段或另一个计划任务。
  • 原因:这是一次典型的 Windows 后台维护操作,可能涉及系统更新、优化或账户同步,在睡眠期间被触发并记录。

5. 解决频繁记录的方法

如果你觉得这些事件过于频繁或不需要记录,可以采取以下措施:

(1) 调整计划任务

  • 打开“任务计划程序”(taskschd.msc):
    • 检查“Microsoft” > “Windows” > “TaskScheduler”或“Maintenance”下的任务。
    • 找到凌晨运行的任务(例如“Regular Maintenance”),调整触发时间或禁用。
  • 效果:减少 taskhostw.exe 的唤醒和 4798 事件。

(2) 禁用唤醒计时器

  • 控制面板 > 电源选项 > 更改计划设置 > 更改高级电源设置 > “睡眠” > “允许唤醒计时器” > 设为“禁用”。
  • 效果:防止睡眠期间的系统唤醒,减少所有事件。

(3) 关闭审计策略

  • 运行 secpol.msc:
    • “本地策略” > “审核策略”:
      • “审核账户管理” > 取消“成功”。
      • “审核登录” > 取消“成功”。
  • 效果:停止记录 4798、4624、4672、4627 事件,但会降低安全可见性。

(4) 检查具体服务

  • 使用事件查看器,查找与 01:04:51 和 01:05:23 时间点相关的系统日志,确认是哪个服务触发了 services.exe 的登录。
  • 效果:针对性地优化或禁用相关服务。

6. 结论

  • 事件含义:这些日志反映了系统在睡眠期间执行了一次或多次后台任务(可能是自动维护),涉及用户权限检查(4798)和服务登录(4624/4672/4627)。
  • 频繁原因:Windows 的维护机制结合现代睡眠模式和审计策略,导致凌晨频繁记录。
  • 建议:若不影响使用,可忽略;若想减少记录,调整计划任务或关闭审计策略即可。

我的排查

任务计划程序

  • \Microsoft\Windows\AppListBackup\BackupNonMaintenance:触发器每3天的凌晨0点,下次运行事件2025/04/12 03:43:33,但是看不到历史记录(已禁用),在根任务节点,右键启用所有任务的历史记录,下次再排查 todo
  •