看到 Guest 帐户登录失败(即使帐户已禁用)是正常的 Windows 活动吗?似乎在合法的 3 类登录 Windows 2012 R2 Server 后约 5 分钟观察到此活动。以下是日志片段:
<Computer>redacted_server_hostname</Computer><Security/></System><EventData>An account failed to log on.
Subject:
Security ID: redacted_domain\redacted_user
Account Name: redacted_user
Account Domain: redacted_domain
Logon ID: 0x5914698F6
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Guest
Account Domain: redacted_server_hostname
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x2224
Caller Process Name: C:\Windows\explorer.exe
Network Information:
Workstation Name: redacted_server_hostname
Source Network Address: -
Source Port: -
超过 100 个 Windows 事件日志中都显示了登录失败日志。
答案1
登录类型3表示网络连接。
例如,当未知的工作组\计算机尝试访问服务器上的共享时,可能会发生这种情况。
当共享文件夹的权限中包含“所有人”时也会导致这种情况。
无论如何,这是来自您的内部网络,因此您不会受到来自互联网的攻击。
是的,在适当的条件下这是很正常的。