我正在通过事件查看器追踪软件问题,并发现了以下安全日志:
事件 ID 4723 尝试更改帐户的密码。
Subject:
Security ID: SYSTEM
Account Name: DESKTOP-AAAAAAA$
Account Domain: WWWWWW
Logon ID: 0x3E7
Target Account:
Security ID: DESKTOP-AAAAAAA\Administrator
Account Name: Administrator
Account Domain: DESKTOP-AAAAAAA
Additional Information:
Privileges -
XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{000000-000-00000-00000-000000000}" />
<EventID>4723</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13824</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2021-08-26T17:06:55.7385645Z" />
<EventRecordID>21161</EventRecordID>
<Correlation ActivityID="{******-****-*****-****-******701}" />
<Execution ProcessID="1124" ThreadID="1172" />
<Channel>Security</Channel>
<Computer>DESKTOP-AAAAAAA</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">DefaultAccount</Data>
<Data Name="TargetDomainName">DESKTOP-AAAAAA</Data>
<Data Name="TargetSid">S-1-5-21-00000000-00000000-0000000-503</Data>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">DESKTOP-AAAAAAA$</Data>
<Data Name="SubjectDomainName">WWWWWW</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="PrivilegeList">-</Data>
</EventData>
</Event>
随后出现事件 ID 4625,帐户登录失败。
Subject:
Security ID: SYSTEM
Account Name: DESKTOP-AAAAAAA$
Account Domain: WWWWWW
Logon ID: 0x3E7
Logon Type: 2
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: DESKTOP-AAAAAAA
Failure Information:
Failure Reason: Account currently disabled.
Status: 0xC000006E
Sub Status: 0xC0000072
Process Information:
Caller Process ID: 0x464
Caller Process Name: C:\Windows\System32\lsass.exe
Network Information:
Workstation Name: DESKTOP-AAAAAAA
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{000000-000-00000-00000-000000000}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2021-08-26T17:06:55.7411056Z" />
<EventRecordID>21162</EventRecordID>
<Correlation ActivityID="{******-****-*****-****-******701}" />
<Execution ProcessID="1124" ThreadID="1212" />
<Channel>Security</Channel>
<Computer>DESKTOP-AAAAAAA</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">DESKTOP-AAAAAAA$</Data>
<Data Name="SubjectDomainName">WWWWWW</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">DefaultAccount</Data>
<Data Name="TargetDomainName">DESKTOP-AAAAAAA</Data>
<Data Name="Status">0xc000006e</Data>
<Data Name="FailureReason">%%2310</Data>
<Data Name="SubStatus">0xc0000072</Data>
<Data Name="LogonType">2</Data>
<Data Name="LogonProcessName">Advapi</Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">DESKTOP-AAAAAAA</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x464</Data>
<Data Name="ProcessName">C:\Windows\System32\lsass.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
有些是管理员帐户的,有些是 DefaultAccount 的,今天有几次,一周前有更多。有些是连续几天的。
我应该担心吗?
有人试图访问我的电脑/入侵管理员帐户吗?
是什么触发了这些日志?
我没有尝试更改任何密码。
我使用的是本地帐户(激活后禁用了所有 Microsoft 帐户设置)。
防病毒软件一直处于启用状态(Bitdefender)。
使用 Windows Security、Bitdefender、Malwarebytes 扫描 - 全部干净。Windows
10 Pro/Home(最新更新、Bitdefender Internet Security、本地帐户)- 这似乎发生在我的两台计算机上。
谢谢
答案1
从 XML 中使用的系统 ID (SID) 来看,这些事件是由您的计算机中安装的软件或系统服务发起的。
这些可能是由您的防病毒软件检查您的安全设置而发出的,但进一步挖掘可能会有用。
也可能是某个进程试图冒充管理员账户并获取超级权限。这种可能性令人担忧。
事件 4625来自 执行文件目录:\Windows\System32\lsass.exe 它是处理安全和身份验证的合法且必要的 Windows 组件。
“登录类型”是2,这意味着交互式登录。令人非常困惑的是,为什么有人会尝试以内置管理员帐户(已禁用)登录您的计算机。我希望您的计算机没有对互联网开放。但是,这不必太担心,因为计算机lsass.exe受到严密保护。
事件 4723更令人担忧的是,有关其发起者的信息仅指定了进程编号,但已经来不及找到更多信息了:
<Execution ProcessID="1124" ThreadID="1172" />
建议
我建议在事件 4723 发生时尝试至少捕获它。
在事件查看器中,您可以右键单击该事件并选择“将任务附加到此事件”,并执行“显示消息(已弃用)”操作。
显示消息后,您可以在事件查看器中找到进程 ID,然后在任务管理器中找到导致该事件的进程。如果任务管理器没有提供足够的信息,请使用更好的 进程探索器。
结论/观点
这两起事件都是由引起的lsass.exe,对此我并不担心。
我相信这是 Bitdefender 对计算机进行审核,您可以通过暂时禁用它来验证。Windows Defender 现在几乎与任何其他防病毒软件一样好,并且肯定更好地集成到 Windows 中。
如果你想要更安心,你可以使用更知名的防病毒产品进行深度扫描,例如 卡巴斯基。
我想说的是,你的计算机没有被感染。
答案2
为了让其他看到这里的人受益,我可以确认这两个事件日志条目 4723 和 4625 确实是由 Bitdefender 引起的。为什么我不知道。
但是,我最近开始使用 Bitdefender,刚刚注意到了这种现象,这让我很担心。为了进行诊断,我卸载了 Bitdefender,果然问题消失了。
我应该补充一点,在我卸载 Bitdefender 本身后,审核条目仍然会出现。但是,程序和功能中列出了另外 2 个 Bitdefender 程序:Bitdefender VPN 和 Bitdefender Agent。我随后卸载了这两个程序,然后审核失败和密码更改尝试就停止了。我不确定是这两个程序中的哪一个导致了这种情况——我一个接一个地卸载了它们。
我等待 Bitdefender 对这些问题发生的原因作出评论。
编辑:作为最后的诊断,我重新安装了 Bitdefender,问题又出现了。所以这两个事件肯定是由 Bitdefender 引起的。我不知道这是预期行为还是错误。
顺便说一句,这是 Windows 11 Pro,版本 21H2,OS Build 22000.593
编辑2:最后,为了结束这个主题,Bitdefender 已确认这是正常行为,只是由于 Bitdefender Agent 检查是否设置了密码而导致的。