Поле «Имя учетной записи субъекта» (SubjectUserName) для события Windows 4648 имеет значение «-».В этом случае ожидается имя пользователя.Событие выглядит как
Тема: Идентификатор безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Идентификатор входа: 0xB29B GUID входа: {00000000-0000-0000-0000-000000000000} Учетная запись, чья учетная записьИспользовались учетные данные: Имя учетной записи: xxxxxx Домен учетной записи: xxxxxx GUID входа в систему: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: xxxx Дополнительная информация: xxxxx Информация о процессе: ИД процесса: 0x77c Имя процесса: C:\ Program Files \ Internet Explorer \ iexplore.exe Информация о сети: Сетевой адрес: - Порт: -
Это событие генерируется, когда процесс пытается войти в учетную запись, явно указав ее учетные данные.Это чаще всего происходит в конфигурациях пакетного типа, таких как запланированные задачи, или при использовании команды RUNAS.
Принимая во внимание, что некоторые журналы с одним и тем же идентификатором события имеют значение SubjectAccountName.