जांच में Windows सुरक्षा इवेंट ID 4688 की व्याख्या कैसे करें

इवेंट आईडी 4688 की व्याख्या करने के लिए, इवेंट लॉग में शामिल विभिन्न फ़ील्ड को समझना महत्वपूर्ण है। इन फ़ील्ड्स का उपयोग किसी भी अनियमितता का पता लगाने और किसी प्रक्रिया की उत्पत्ति को उसके स्रोत तक ट्रैक करने के लिए किया जा सकता है।

• निर्माता विषय: यह फ़ील्ड उस उपयोगकर्ता खाते के बारे में जानकारी प्रदान करता है जिसने एक नई प्रक्रिया के निर्माण का अनुरोध किया था। यह क्षेत्र संदर्भ प्रदान करता है और फोरेंसिक जांचकर्ताओं को विसंगतियों की पहचान करने में मदद कर सकता है। इसमें कई उपक्षेत्र शामिल हैं, जिनमें शामिल हैं:

• • सुरक्षा पहचानकर्ता (एसआईडी)” के अनुसार माइक्रोसॉफ्ट, SID एक अद्वितीय मान है जिसका उपयोग किसी ट्रस्टी की पहचान करने के लिए किया जाता है। इसका उपयोग विंडोज़ मशीन पर उपयोगकर्ताओं की पहचान करने के लिए किया जाता है।
  • खाता नाम: SID को उस खाते का नाम दिखाने के लिए हल किया जाता है जिसने नई प्रक्रिया का निर्माण शुरू किया था।
  • खाता डोमेन: वह डोमेन जिससे कंप्यूटर संबंधित है।
  • लॉगऑन आईडी: एक अद्वितीय हेक्साडेसिमल मान जिसका उपयोग उपयोगकर्ता के लॉगऑन सत्र की पहचान करने के लिए किया जाता है। इसका उपयोग उन घटनाओं को सहसंबंधित करने के लिए किया जा सकता है जिनमें समान इवेंट आईडी होती है।

• लक्ष्य विषय: यह फ़ील्ड उस उपयोगकर्ता खाते के बारे में जानकारी प्रदान करती है जिसके अंतर्गत प्रक्रिया चल रही है। प्रक्रिया निर्माण घटना में उल्लिखित विषय, कुछ परिस्थितियों में, प्रक्रिया समाप्ति घटना में उल्लिखित विषय से भिन्न हो सकता है। इसलिए, जब निर्माता और लक्ष्य के पास एक ही लॉगऑन नहीं है, तो लक्ष्य विषय को शामिल करना महत्वपूर्ण है, भले ही वे दोनों एक ही प्रक्रिया आईडी का संदर्भ देते हों। उपक्षेत्र उपरोक्त निर्माता विषय के समान ही हैं।
• प्रक्रिया सूचना: यह फ़ील्ड निर्मित प्रक्रिया के बारे में विस्तृत जानकारी प्रदान करती है। इसमें कई उपक्षेत्र शामिल हैं, जिनमें शामिल हैं:

• • नई प्रक्रिया आईडी (पीआईडी): नई प्रक्रिया को निर्दिष्ट एक अद्वितीय हेक्साडेसिमल मान। विंडोज़ ऑपरेटिंग सिस्टम सक्रिय प्रक्रियाओं पर नज़र रखने के लिए इसका उपयोग करता है।
  • नई प्रक्रिया का नाम: निष्पादन योग्य फ़ाइल का पूरा पथ और नाम जिसे नई प्रक्रिया बनाने के लिए लॉन्च किया गया था।
  • टोकन मूल्यांकन प्रकार: टोकन मूल्यांकन विंडोज़ द्वारा नियोजित एक सुरक्षा तंत्र है जो यह निर्धारित करता है कि कोई उपयोगकर्ता खाता किसी विशेष कार्रवाई को करने के लिए अधिकृत है या नहीं। उन्नत विशेषाधिकारों का अनुरोध करने के लिए प्रक्रिया जिस प्रकार के टोकन का उपयोग करेगी उसे "टोकन मूल्यांकन प्रकार" कहा जाता है। इस क्षेत्र के लिए तीन संभावित मान हैं। टाइप 1 (%%1936) दर्शाता है कि प्रक्रिया डिफ़ॉल्ट उपयोगकर्ता टोकन का उपयोग कर रही है और किसी विशेष अनुमति का अनुरोध नहीं किया गया है। इस क्षेत्र के लिए, यह सबसे सामान्य मान है. टाइप 2 (%%1937) दर्शाता है कि प्रक्रिया ने चलाने के लिए पूर्ण व्यवस्थापक विशेषाधिकारों का अनुरोध किया और उन्हें प्राप्त करने में सफल रही। जब कोई उपयोगकर्ता किसी एप्लिकेशन या प्रक्रिया को व्यवस्थापक के रूप में चलाता है, तो यह सक्षम हो जाता है। टाइप 3 (%%1938) दर्शाता है कि प्रक्रिया को केवल अनुरोधित कार्रवाई को पूरा करने के लिए आवश्यक अधिकार प्राप्त हुए, भले ही उसने उन्नत विशेषाधिकारों का अनुरोध किया हो।

• • अनिवार्य लेबल: प्रक्रिया को सौंपा गया एक अखंडता लेबल। 
  • क्रिएटर प्रोसेस आईडी: नई प्रक्रिया शुरू करने वाली प्रक्रिया को निर्दिष्ट एक अद्वितीय हेक्साडेसिमल मान। 
  • निर्माता प्रक्रिया का नाम: उस प्रक्रिया का पूरा पथ और नाम जिसने नई प्रक्रिया बनाई।
  • प्रक्रिया कमांड लाइन: नई प्रक्रिया शुरू करने के लिए कमांड में पारित तर्कों के बारे में विवरण प्रदान करती है। इसमें वर्तमान निर्देशिका और हैश सहित कई उपक्षेत्र शामिल हैं।