Windows 10 вход и выход из системы, когда я не был активным?

414
Olga Khumlo

Я вижу следующие данные для события.

An account was logged off Security ID S-1-5-90-0-10 account name DWM-10 at 00:01:24  DWM-9 at 00:01:36 Security Id S-1-5-96-0-9  UMFD-9 at 00:01:36 logged off

Пожалуйста, объясните, что это значит, особенно когда я не вошел в систему?

2
Я отредактировал вопрос, чтобы сделать ваше оригинальное форматирование видимым. Вероятно, это было скопировано из журнала событий Windows? В таком случае рассмотрите возможность добавления идентификаторов событий, источников и т. Д., Поскольку они могут предоставить больше контекста. Также, пожалуйста, просмотрите мою правку, когда она соответствует вашим ожиданиям. Существуют различные [хорошо известные идентификаторы безопасности] (https://msdn.microsoft.com/en-us/library/windows/desktop/aa379649 (v = vs.85) .aspx) для Windows. Этот, кажется, не в списке. Seth 6 лет назад 1
@ Сидит, это действительно в списке. Последние три цифры генерируются случайным образом. Ramhound 6 лет назад 0
Ваша статья немного лучше по этому вопросу. Вы правы, что можете расшифровать его, но на самом деле я думал о чем-то вроде -500 для учетной записи администратора. Seth 6 лет назад 0

1 ответ на вопрос

2
Ramhound

  • S-1-5-96-0-9

  • S-1-5-90-0-10

Оба эти пользователя являются известными системными учетными записями. В этом случае S-1-5 принадлежит NT_AUTHORITY

SID, содержащий только полномочия идентификатора SECURITY_NT_AUTHORITY.

Следующие три числа в каждом примере генерируются случайным образом

Следующие три массива SubAuthority содержат 32-битные случайные числа для однозначной идентификации домена.

Пожалуйста, объясните, что это значит, особенно когда я не вошел в систему?

Ничего необычного не случилось.

https://msdn.microsoft.com/en-us/library/cc980032.aspx

Похожие вопросы