¿Es normal que Windows vea inicios de sesión fallidos para una cuenta de Invitado (incluso cuando la cuenta está deshabilitada)? Parece que esta actividad se observa aproximadamente 5 minutos después de un inicio de sesión legítimo de tipo 3 en un servidor Windows 2012 R2. Aquí hay un fragmento de registro:
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
El registro de errores de inicio de sesión se indica en más de 100 registros de eventos de Windows.
Respuesta1
Tipo de inicio de sesión 3significa una conexión de red.
Esto puede suceder, por ejemplo, cuando un grupo de trabajo/computadora desconocido intenta acceder a un recurso compartido en el servidor.
También puede deberse a que "Todos" esté incluido en los permisos de la carpeta compartida.
En cualquier caso, esto proviene de tu red interna, por lo que no estás siendo atacado desde Internet.
Y sí, en las condiciones adecuadas esto es bastante normal.