ゲスト アカウントのログイン失敗が表示されるのは (アカウントが無効になっている場合でも) 通常の Windows アクティビティですか? このアクティビティは、Windows 2012 R2 サーバーへの正当なタイプ 3 ログオンの約 5 分後に観察されるようです。ログの抜粋を次に示します。
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
ログイン失敗ログは、100 を超える Windows イベント ログに表示されます。
答え1
ログオンタイプは3ネットワーク接続を意味します。
これは、たとえば、不明なワークグループ\コンピューターがサーバー上の共有にアクセスしようとしたときに発生する可能性があります。
共有フォルダの権限に「Everyone」が含まれている場合にも発生する可能性があります。
いずれにせよ、これは内部ネットワークから来ているので、インターネットから攻撃されているわけではありません。
はい、適切な条件下では、これはまったく正常なことです。