Windows 未请求的注销类型 0(事件 1100)后跟数十个事件登录(事件 4264)是什么意思?

Windows 未请求的注销类型 0(事件 1100)后跟数十个事件登录(事件 4264)是什么意思?

我让一个 Python 脚本运行了一整晚。第二天早上,我发现我的电脑显示登录屏幕,等待我输入密码(交互模式)。没想到,程序停了,登录后,电脑就像重新启动了一样。

通过检查 Windows 事件日志。我注意到在凌晨 4:07(显然,我的电脑周围没有人)我收到了 1100 EventLog,这可能表示关闭(没有人请求关闭)。在该事件之后,我收到了数百个 4907 事件(审计策略变更),均发生在凌晨 4:07:22,全部具有安全 ID 系统,并且每个都更改不同的文件“C:\Windows\SysWOW64”,在凌晨 4:08 我创建了几个进程(主要是团队、Skype 和那些东西),并且 在接下来的 3 分钟内,有超过 30 次登录已完成(事件 4624)。我的电脑不是服务器,它只是我自己的电脑,但它已连接到 wifi。在那 30 次登录中,我注意到第一个登录类型为 0!我搜索了这种类型的登录类型,但找不到除类型 1-9 之外的其他文档。无论如何,在第一个 0 类型登录中,安全 ID 为 NULL SID,登录 ID 为 0x0,GUID 全是 0

然后,在第一次 0 型登录之后,所有其他登录都是 5 型(大多数),并且用户相同(我的 PC 只有 1 个用户),但其中一些(超过 1 个)是 2 型,我理解这是交互模式。但凌晨 4 点时我的 PC 周围没有人。一些 5 型登录之后是用户名为 SYSTEM 的特殊登录(事件 4672)。

在这 3 分钟内 30 次登录之后,所有其他安全事件都是从凌晨 4:20 到上午 9:20 的登录和特殊登录。我试图匹配注销尝试,但当我正要使用我的电脑查找登录屏幕时,我只在上午 9:20 左右发现了 2 次注销尝试。

有人能帮助我理解这是什么意思、发生了什么以及登录类型 0 是什么吗?

相关内容