事件ID 4776禁用帐户尝试中签名失败
事件ID 4776禁用帐户尝试中签名失败
提问于 2023-02-24 15:26:13
在我们的环境中,我发现了一些事件ID 4776 The computer attempted to validate the credentials for an account。下面显示的是该事件日志的输出,所讨论的用户似乎是Guest,它是一个禁用帐户:
我还从同一个时间和同一个Guest用户找到了相应的事件ID 4625,如下所示。但是,对于这个事件id,我可以看到主题用户名,我正试图查找用户。
我的问题是:
- 有人能提供关于为什么一个残疾客人帐户要登录的洞察力吗?
- 对于事件ID 4625,主题用户名和目标用户名有什么区别?我有个主意但我不想假设。
回答 1
Server Fault用户
回答已采纳
发布于 2023-02-25 17:45:57
即使Guest帐户已被禁用,仍然可以尝试使用它登录。该尝试显然将失败(就像这里的情况一样),导致事件4625。
主语与客体的区别是简单的。Subject是报告故障的帐户(例如,这可能是计算机帐户,也可以是进程,如IIS),而目标是无法登录的帐户。
看起来您的问题是一个本地进程,它试图以来宾帐户的身份登录,使用PID 5744 (0x1670)。因此,您应该在任务管理器中看到这个过程。
您可以在这里看到更多的信息:https://system32.eventsentry.com/security/event/4625
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/1123692
复制相关文章
相似问题
腾讯云开发者
