看到來賓帳戶登入失敗(即使該帳戶已停用)是正常的 Windows 活動嗎?在合法的類型 3 登入 Windows 2012 R2 Server 後大約 5 分鐘內就會觀察到此活動。這是一個日誌片段:
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
超過 100 個 Windows 事件日誌中顯示了登入失敗日誌。
答案1
登入類型3表示網路連線。
例如,當未知的工作群組\電腦嘗試存取伺服器上的共用時,可能會發生這種情況。
當共用資料夾的權限中包含“Everyone”時,也可能會導致此問題。
無論如何,這都來自您的內部網絡,因此您不會受到來自互聯網的攻擊。
是的,在適當的條件下,這是很正常的。