우리 환경에서 소수의 이벤트 ID 4776 을 발견했습니다 The computer attempted to validate the credentials for an account
. 아래는 해당 이벤트 로그의 출력이며 문제의 사용자는 Guest
비활성화된 계정인 것으로 보입니다.
또한 아래에 표시된 해당 이벤트 ID 4625도 동일한 시간, 동일한 사용자로부터 발견되었습니다 Guest
. 하지만 이 이벤트 ID의 경우 사용자를 추적하려는 대상 사용자 이름이 표시됩니다.
내 질문은 다음과 같습니다
- 비활성화된 게스트 계정이 로그인을 시도하는 이유에 대해 누군가가 통찰력을 제공할 수 있습니까?
- 이벤트 ID 4625의 경우 주체 사용자 이름과 대상 사용자 이름의 차이점은 무엇입니까? 아이디어가 있지만 가정하고 싶지는 않습니다.
답변1
Guest 계정이 비활성화된 경우에도 여전히 해당 계정으로 로그온을 시도할 수 있습니다. 이 시도는 분명히 실패하고(여기의 경우처럼) 이벤트 4625가 발생합니다.
제목과 대상의 차이점은 간단합니다. 주체는 실패를 보고하는 계정(예: 컴퓨터 계정 또는 IIS와 같은 프로세스일 수 있음)인 반면, 대상은 로그온에 실패한 해당 계정입니다.
귀하의 문제는 PID 5744(0x1670)를 사용하여 게스트 계정으로 로그온을 시도하는 로컬 프로세스인 것 같습니다. 따라서 작업 관리자에서 해당 프로세스를 볼 수 있습니다.
여기에서 좀 더 자세한 정보를 볼 수 있습니다:https://system32.eventsentry.com/security/event/4625