우리 환경에서 소수의 이벤트 ID 4776 을 발견했습니다 The computer attempted to validate the credentials for an account. 아래는 해당 이벤트 로그의 출력이며 문제의 사용자는 Guest비활성화된 계정인 것으로 보입니다.
또한 아래에 표시된 해당 이벤트 ID 4625도 동일한 시간, 동일한 사용자로부터 발견되었습니다 Guest. 하지만 이 이벤트 ID의 경우 사용자를 추적하려는 대상 사용자 이름이 표시됩니다.
내 질문은 다음과 같습니다
- 비활성화된 게스트 계정이 로그인을 시도하는 이유에 대해 누군가가 통찰력을 제공할 수 있습니까?
- 이벤트 ID 4625의 경우 주체 사용자 이름과 대상 사용자 이름의 차이점은 무엇입니까? 아이디어가 있지만 가정하고 싶지는 않습니다.
답변1
Guest 계정이 비활성화된 경우에도 여전히 해당 계정으로 로그온을 시도할 수 있습니다. 이 시도는 분명히 실패하고(여기의 경우처럼) 이벤트 4625가 발생합니다.
제목과 대상의 차이점은 간단합니다. 주체는 실패를 보고하는 계정(예: 컴퓨터 계정 또는 IIS와 같은 프로세스일 수 있음)인 반면, 대상은 로그온에 실패한 해당 계정입니다.
귀하의 문제는 PID 5744(0x1670)를 사용하여 게스트 계정으로 로그온을 시도하는 로컬 프로세스인 것 같습니다. 따라서 작업 관리자에서 해당 프로세스를 볼 수 있습니다.
여기에서 좀 더 자세한 정보를 볼 수 있습니다:https://system32.eventsentry.com/security/event/4625