我在 Windows Home 10 工作站中看到周期性的 4672 事件(特殊登录)。
引起我兴趣的是,由安全 ID/帐户名“SYSTEM”触发的事件在过去 12 个小时内定期发生。
Special privi0leges assigned to new logon.
Subject:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3E7
Privileges:
SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
这种情况几乎每小时、整夜都会发生。
然后今天早上我看到一个事件 4797(用户帐户管理)“试图查询帐户是否存在空白密码。”
尝试查询帐户是否存在空白密码。
Subject:
Security ID: -----
Account Name: -----
Account Domain: -----
Logon ID: 0x946808E
Additional Information:
Caller Workstation: -----
Target Account Name: Administrator
Target Account Domain: -----
此事件仅出现一次。
所以我的问题有两个,常规的系统 4672 事件是什么,它们是否与 4796(用户帐户管理)事件有某种关联?
谢谢。