私たちの環境では、イベント ID 4776 がいくつか見つかりましたThe computer attempted to validate the credentials for an account
。以下はそのイベント ログの出力であり、問題のユーザーはGuest
無効なアカウントであるようです。
また、同じ時間に同じユーザーから、対応するイベント ID 4625 も見つかりました (以下を参照) Guest
。ただし、このイベント ID では、ユーザーを追跡しようとしているサブジェクト ユーザー名を確認できます。
私の質問は次のとおりです:
- 無効にされたゲスト アカウントがサインインしようとしている理由について、詳しい情報を提供してもらえますか?
- イベント ID 4625 の場合、サブジェクト ユーザー名とターゲット ユーザー名の違いは何ですか? ある程度の考えはありますが、推測したくありません。
答え1
ゲスト アカウントが無効になっている場合でも、そのアカウントを使用してログオンを試みることはできます。この試みは明らかに失敗し (この場合もそうです)、イベント 4625 が発生します。
サブジェクトとターゲットの違いは簡単です。サブジェクトは失敗を報告するアカウント (たとえば、コンピューター アカウントや IIS などのプロセス) ですが、ターゲットはログオンに失敗したアカウントです。
問題は、PID 5744 (0x1670) のゲスト アカウントとしてログオンしようとするローカル プロセスであるようです。したがって、タスク マネージャーでそのプロセスを確認する必要があります。
詳しい情報はここでご覧いただけます:https://system32.eventsentry.com/security/event/4625