如何确定为什么会出现 Windows 安全事件日志 ID 4624 以及我的计算机上发生了什么?

如何确定为什么会出现 Windows 安全事件日志 ID 4624 以及我的计算机上发生了什么?

我在一家小公司工作,公司里有个 IT 人员,他脾气很暴躁,自以为是上帝。我最近注意到,我的 Windows 安全事件日志中出现了一堆事件 ID 为 4624(成功登录)的事件,这些事件的用户名都是他的。这似乎不是计划好的作业,因为它们是全天随机发生的。我每天会看到 10-20 个这样的登录事件,这些事件的用户名都是这位 IT 人员的。

这些登录事件可能是什么?

如果他“秘密”登录我的电脑,我如何知道他在做什么?

以下是事件文本的一小部分:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          5/14/2019 8:17:04 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A

Description:
An account was successfully logged on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Information:
    Logon Type:     3
    Restricted Admin Mode:  -
    Virtual Account:        No
    Elevated Token:     No

New Logon:
    Security ID:        domain\ITguyuser
    Account Name:       ITguyuser
    Account Domain:     domain

答案1

根据此资源,似乎 IT 人员正在访问您主机上的某些共享文件夹/文件。

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

登录类型并不表示他们有一个交互式会话(即远程访问并观察你在做什么)

相关内容