事件查看器中的大量登录/关闭事件
我正在用Win2012运行VMware服务器,我已经安装了IIS、NAP、VPN、DHCP、DNS、WDS、AD、AD。我的域中有win7客户端,但它们没有打开。
问题是,我得到了ID 4634,4624和4672的大量事件。我几乎每2秒就会收到一次。它们都来自我的Win2012服务器。
登录事件示例:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Delegation
New Logon:
Security ID: SYSTEM
Account Name: DC-SERVER$
Account Domain: SKOLE
Logon ID: 0x20BE923
Logon GUID: GUID
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: fe80::e130:38a0:ae35:35bd
Source Port: 58047
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0冒充在委托和模拟之间发生变化。源端口也一直在更改。
正如您所看到的,这些事件在同一秒钟内发生了很多次。我完全不知道是什么导致了这一切。我已经搜索和搜索论坛的答案,但我没有找到任何帮助。
对于任何人告诉我关闭审计-不,我不会,我想找到问题或得到一个很好的解释。
更新:
显然,我已经有很长一段时间了,但直到现在我才真正注意到这一点。我有我的服务器快照,我没有NAP,VPN和AD CS安装,但我仍然得到了大量的事件。我相信这与广告有关。有谁能帮忙吗?
回答 1
Server Fault用户
发布于 2016-09-02 09:02:52
根据包含DC的服务器的名称判断,我假设这是一个域控制器。
还请注意,登录类型为3,意味着网络登录。
登录类型为3的4624和4634个事件的
:
您将在域控制器上看到很多这些事件,因为它的主要业务是验证.
一般来说,这些都是非常嘈杂的,而不是经常用于实际取证。没有其他应用程序过滤掉噪音。
在域控制器上,经常会在同一用户的身份验证事件之后立即看到一个或多个登录/注销对。但是,这些登录/注销事件是由本地计算机上的组策略客户端生成的,从域控制器检索适用的组策略对象,以便可以为该用户应用策略。然后,大约每隔90分钟,Windows刷新组策略,您将再次看到域控制器上的网络登录和注销。这些网络登录/注销事件只不过是噪音而已。..。成功的网络登录和注销事件仅仅是域控制器和成员服务器上的“噪音”,因为记录和跟踪的信息量很大。不幸的是,您不能仅仅禁用成功的网络登录/注销事件,同时也会丢失其他用于交互式、远程桌面的登录/注销事件。无法在Windows安全日志之外配置噪音;这是日志管理/ SIEM解决方案的工作。
For 4672 (特殊登录事件):
这来自任何需要特权的东西。
以管理员权限运行计划中的任务,以管理员的身份运行的应用程序,或只使用管理员帐户登录的应用程序.
您可以查看这些文件,查看哪些是以特殊权限运行的,以及是否应该运行。
https://serverfault.com/questions/800403
复制相似问题
腾讯云开发者
