Windows事件日志-安全性-审核失败
Windows事件日志-安全性-审核失败
提问于 2019-03-06 18:45:49
每隔一个小时左右,我就会在我的Event viewer -> Windows logs -> Security日志中看到这个事件。
我知道consent.exe是Windows的控件,我不想知道为什么要每隔30分钟就登录一次我的管理员帐户。
日志的细节是(我有一堆这样的东西):
An account failed to log on.
Subject:
Security ID: SYSTEM
Account Name: DESKTOP-8P22P26$
Account Domain: WORKGROUP
Logon ID: 0x3E7
Logon Type: 2
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Admin
Account Domain: DESKTOP-8P22P26
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xC000006D
Sub Status: 0xC000006A
Process Information:
Caller Process ID: 0x2260
Caller Process Name: C:\Windows\System32\consent.exe
Network Information:
Workstation Name: DESKTOP-8P22P26
Source Network Address: ::1
Source Port: 0
Detailed Authentication Information:
Logon Process: CredPro
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0回答 1
Security用户
回答已采纳
发布于 2019-03-28 10:16:20
登录类型:2
2表示它是交互式的(键盘和系统屏幕上的登录)
安全ID:空SID
Subject通常是Null或服务主体之一,尽管没有那么有用。
登录进程: CredPro
CredPro表示由用户帐户控件发起的登录
有了这些,您就可以确定某人实际上正在尝试登录。在一定的时间间隔内,可能是一个脚本(可能,在较长的时间内,他们试图使它看起来像是另一个管理员或什么的,而不是尝试每30分钟登录一次)。
请参阅MSFT的这关于类似问题的报道。
另外,如果您正在监视事件查看器,我还建议将事件日志集中到另一个仪表板上(如果帐户被破坏,会很有用)。查看这些类型的模块这里 (我参与了该项目)以及其他可以将EventLog事件收集到另一种格式(如JSON )的模块。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/204879
复制相关文章
相似问题
腾讯云开发者
