Ist es eine normale Windows-Aktivität, fehlgeschlagene Anmeldungen für ein Gastkonto anzuzeigen (selbst wenn das Konto deaktiviert ist)? Es scheint, dass diese Aktivität etwa 5 Minuten nach einer legitimen Typ-3-Anmeldung auf einem Windows 2012 R2-Server beobachtet wird. Hier ist ein Protokollausschnitt:
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
Das Anmeldefehlerprotokoll wird in über 100 Windows-Ereignisprotokollen angezeigt.
Antwort1
Anmeldetyp 3bedeutet eine Netzwerkverbindung.
Dies kann beispielsweise passieren, wenn eine unbekannte Arbeitsgruppe/ein unbekannter Computer versucht, auf eine Freigabe auf dem Server zuzugreifen.
Die Ursache kann auch darin liegen, dass in den Berechtigungen des freigegebenen Ordners die Option „Jeder“ enthalten ist.
Dieser stammt in jedem Fall aus Ihrem internen Netzwerk, Sie werden also nicht aus dem Internet angegriffen.
Und ja, unter den richtigen Bedingungen ist das ganz normal.