Em nosso ambiente, encontrei alguns Event ID 4776 The computer attempted to validate the credentials for an account. Abaixo é mostrada a saída desse log de eventos e parece que o usuário em questão é Guest, que é uma conta desabilitada:
Também encontrei um ID de evento 4625 correspondente, mostrado abaixo, da mesma hora e do mesmo Guestusuário. No entanto, para esse ID de evento, posso ver o nome de usuário do assunto para o qual estou tentando localizar o usuário.
Minhas perguntas são:
- Alguém pode fornecer informações sobre por que uma conta de convidado desativada está tentando fazer login?
- Para o ID de Evento 4625, qual é a diferença entre o Nome de Usuário do Assunto e o Nome de Usuário de Destino? Tenho uma ideia, mas não quero assumir.
Responder1
Mesmo que a conta Convidado esteja desativada, ainda é possível tentar fazer logon com ela. A tentativa obviamente falhará (como é o caso aqui), resultando no evento 4625.
A diferença entre Sujeito e Alvo é simples. O assunto é a conta que relata a falha (por exemplo, pode ser a conta do computador ou um processo como o IIS), enquanto o destino é a conta em questão que falhou ao fazer logon.
Parece que o seu problema é um processo local que tenta fazer logon como conta de convidado, com PID 5744 (0x1670). Então você deve ver esse processo no gerenciador de tarefas.
Você pode ver um pouco mais de informações aqui:https://system32.eventsentry.com/security/event/4625