我在一家小公司工作,公司里有个 IT 人员,他脾气很暴躁,自以为是上帝。我最近注意到,我的 Windows 安全事件日志中出现了一堆事件 ID 为 4624(成功登录)的事件,这些事件的用户名都是他的。这似乎不是计划好的作业,因为它们是全天随机发生的。我每天会看到 10-20 个这样的登录事件,这些事件的用户名都是这位 IT 人员的。
这些登录事件可能是什么?
如果他“秘密”登录我的电脑,我如何知道他在做什么?
以下是事件文本的一小部分:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 5/14/2019 8:17:04 AM
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Information:
Logon Type: 3
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: No
New Logon:
Security ID: domain\ITguyuser
Account Name: ITguyuser
Account Domain: domain
答案1
根据此资源,似乎 IT 人员正在访问您主机上的某些共享文件夹/文件。
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624
登录类型并不表示他们有一个交互式会话(即远程访问并观察你在做什么)