Нормальная ли активность Windows — видеть неудачные входы для учетной записи гостя (даже если учетная запись отключена)? Похоже, что эта активность наблюдается примерно через 5 минут после законного входа типа 3 на сервер Windows 2012 R2. Вот фрагмент журнала:
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
Журнал ошибок входа отображается в более чем 100 журналах событий Windows.
решение1
Тип входа 3означает сетевое подключение.
Это может произойти, например, когда неизвестная рабочая группа\компьютер пытается получить доступ к общему ресурсу на сервере.
Это также может быть вызвано тем, что в разрешениях общей папки указано «Все».
В любом случае, это исходит из вашей внутренней сети, так что вас не атакуют из Интернета.
И да, при правильных условиях это вполне нормально.