En nuestro entorno, encontré algunos ID de evento 4776 The computer attempted to validate the credentials for an account. A continuación se muestra el resultado de ese registro de eventos y parece que el usuario en cuestión es Guest, que es una cuenta deshabilitada:
También encontré el ID de evento 4625 correspondiente, que se muestra a continuación, del mismo momento y del mismo Guestusuario. Sin embargo, para esta identificación de evento, puedo ver el nombre de usuario del sujeto para el cual estoy tratando de localizar al usuario.
Mis preguntas son:
- ¿Alguien puede darnos una idea de por qué una cuenta de invitado deshabilitada intenta iniciar sesión?
- Para el ID de evento 4625, ¿cuál es la diferencia entre el nombre de usuario del sujeto y el nombre de usuario de destino? Tengo una idea pero no quiero asumirla.
Respuesta1
Aunque la cuenta de Invitado esté deshabilitada, aún se puede intentar iniciar sesión con ella. Obviamente, el intento fallará (como es el caso aquí), lo que dará como resultado el evento 4625.
La diferencia entre Sujeto y Objetivo es simple. El asunto es la cuenta que informa la falla (por ejemplo, podría ser la cuenta de la computadora o un proceso como IIS), mientras que el objetivo es la cuenta en cuestión que no pudo iniciar sesión.
Parece que su problema es un proceso local que intenta iniciar sesión como cuenta de Invitado, con PID 5744 (0x1670). Entonces deberías ver ese proceso en el administrador de tareas.
Puedes ver un poco más de información aquí:https://system32.eventsentry.com/security/event/4625