게스트 계정에 대한 로그인 실패를 보는 것은 정상적인 Windows 활동입니까(계정이 비활성화된 경우에도)? 이 활동은 Windows 2012 R2 서버에 합법적인 유형 3 로그온 후 약 5분 동안 관찰된 것으로 보입니다. 다음은 로그 조각입니다.
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
로그인 실패 로그는 100개 이상의 Windows 이벤트 로그에 표시됩니다.
답변1
로그온 유형은 3네트워크 연결을 의미합니다.
예를 들어 알 수 없는 작업 그룹\컴퓨터가 서버의 공유에 액세스하려고 할 때 이런 일이 발생할 수 있습니다.
공유 폴더의 권한에 "모든 사람"이 포함되어 있는 경우에도 발생할 수 있습니다.
어쨌든 이는 내부 네트워크에서 발생하므로 인터넷에서 공격을 받는 것은 아닙니다.
그리고 그렇습니다. 올바른 조건에서 이는 매우 정상적인 현상입니다.