在我們的環境中,我發現了一些事件 ID 4776 The computer attempted to validate the credentials for an account。下面顯示的是該事件日誌的輸出,似乎有問題的使用者是Guest,這是一個已停用的帳戶:
我還發現了來自同一時間和同一用戶的相應事件 ID 4625,如下所示Guest。但是,對於此事件 ID,我可以看到我正在嘗試尋找使用者的主題使用者名稱。
我的問題是:
- 有人可以提供有關禁用的來賓帳戶為何嘗試登入的見解嗎?
- 對於事件 ID 4625,主體使用者名稱和目標使用者名稱有什麼不同?我有一個想法,但我不想假設。
答案1
即使來賓帳戶已停用,人們仍然可以嘗試使用它登入。該嘗試顯然會失敗(如此處的情況),導致事件 4625。
主題和目標之間的差異很簡單。主題是報告失敗的帳戶(例如,這可能是電腦帳戶或 IIS 等進程),而目標是登入失敗的相關帳戶。
您的問題似乎是本地進程嘗試以 Guest 帳戶登錄,PID 為 5744 (0x1670)。所以你應該在任務管理器中看到該進程。
您可以在這裡看到更多資訊:https://system32.eventsentry.com/security/event/4625