事件 ID 4723 - 尝试更改帐户密码。+ 事件 ID 4625

事件 ID 4723 - 尝试更改帐户密码。+ 事件 ID 4625

我正在通过事件查看器追踪软件问题,并发现了以下安全日志:

事件 ID 4723 尝试更改帐户的密码。

Subject:
  Security ID:   SYSTEM
  Account Name:   DESKTOP-AAAAAAA$
  Account Domain:   WWWWWW
  Logon ID:   0x3E7

Target Account:
  Security ID:   DESKTOP-AAAAAAA\Administrator
  Account Name:   Administrator
  Account Domain:   DESKTOP-AAAAAAA

Additional Information:
  Privileges   -

XML:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{000000-000-00000-00000-000000000}" /> 
  <EventID>4723</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>13824</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8020000000000000</Keywords> 
  <TimeCreated SystemTime="2021-08-26T17:06:55.7385645Z" /> 
  <EventRecordID>21161</EventRecordID> 
  <Correlation ActivityID="{******-****-*****-****-******701}" /> 
  <Execution ProcessID="1124" ThreadID="1172" /> 
  <Channel>Security</Channel> 
  <Computer>DESKTOP-AAAAAAA</Computer> 
  <Security /> 
  </System>
<EventData>
  <Data Name="TargetUserName">DefaultAccount</Data> 
  <Data Name="TargetDomainName">DESKTOP-AAAAAA</Data> 
  <Data Name="TargetSid">S-1-5-21-00000000-00000000-0000000-503</Data> 
  <Data Name="SubjectUserSid">S-1-5-18</Data> 
  <Data Name="SubjectUserName">DESKTOP-AAAAAAA$</Data> 
  <Data Name="SubjectDomainName">WWWWWW</Data> 
  <Data Name="SubjectLogonId">0x3e7</Data> 
  <Data Name="PrivilegeList">-</Data> 
 </EventData>
 </Event>

随后出现事件 ID 4625,帐户登录失败。

Subject:
  Security ID:   SYSTEM
  Account Name:   DESKTOP-AAAAAAA$
  Account Domain:   WWWWWW
  Logon ID:   0x3E7

Logon Type:     2

Account For Which Logon Failed:
  Security ID:   NULL SID
  Account Name:   Administrator
  Account Domain:   DESKTOP-AAAAAAA

Failure Information:
  Failure Reason:   Account currently disabled.
  Status:     0xC000006E
  Sub Status:   0xC0000072

Process Information:
  Caller Process ID: 0x464
  Caller Process Name: C:\Windows\System32\lsass.exe

Network Information:
  Workstation Name: DESKTOP-AAAAAAA
  Source Network Address: -
  Source Port:   -

Detailed Authentication Information:
  Logon Process:   Advapi
  Authentication Package: Negotiate
  Transited Services: -
  Package Name (NTLM only): -
  Key Length:   0

XML:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
  <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{000000-000-00000-00000-000000000}" /> 
  <EventID>4625</EventID> 
  <Version>0</Version> 
  <Level>0</Level> 
  <Task>12544</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8010000000000000</Keywords> 
  <TimeCreated SystemTime="2021-08-26T17:06:55.7411056Z" /> 
  <EventRecordID>21162</EventRecordID> 
  <Correlation ActivityID="{******-****-*****-****-******701}" /> 
  <Execution ProcessID="1124" ThreadID="1212" /> 
  <Channel>Security</Channel> 
  <Computer>DESKTOP-AAAAAAA</Computer> 
  <Security /> 
  </System>

 <EventData>
  <Data Name="SubjectUserSid">S-1-5-18</Data> 
  <Data Name="SubjectUserName">DESKTOP-AAAAAAA$</Data> 
  <Data Name="SubjectDomainName">WWWWWW</Data> 
  <Data Name="SubjectLogonId">0x3e7</Data> 
  <Data Name="TargetUserSid">S-1-0-0</Data> 
  <Data Name="TargetUserName">DefaultAccount</Data> 
  <Data Name="TargetDomainName">DESKTOP-AAAAAAA</Data> 
  <Data Name="Status">0xc000006e</Data> 
  <Data Name="FailureReason">%%2310</Data> 
  <Data Name="SubStatus">0xc0000072</Data> 
  <Data Name="LogonType">2</Data> 
  <Data Name="LogonProcessName">Advapi</Data> 
  <Data Name="AuthenticationPackageName">Negotiate</Data> 
  <Data Name="WorkstationName">DESKTOP-AAAAAAA</Data> 
  <Data Name="TransmittedServices">-</Data> 
  <Data Name="LmPackageName">-</Data> 
  <Data Name="KeyLength">0</Data> 
  <Data Name="ProcessId">0x464</Data> 
  <Data Name="ProcessName">C:\Windows\System32\lsass.exe</Data> 
  <Data Name="IpAddress">-</Data> 
  <Data Name="IpPort">-</Data> 
  </EventData>
  </Event>

有些是管理员帐户的,有些是 DefaultAccount 的,今天有几次,一周前有更多。有些是连续几天的。
我应该担心吗?
有人试图访问我的电脑/入侵管理员帐户吗?
是什么触发了这些日志?
我没有尝试更改任何密码。
我使用的是本地帐户(激活后禁用了所有 Microsoft 帐户设置)。
防病毒软件一直处于启用状态(Bitdefender)。
使用 Windows Security、Bitdefender、Malwarebytes 扫描 - 全部干净。Windows
10 Pro/Home(最新更新、Bitdefender Internet Security、本地帐户)- 这似乎发生在我的两台计算机上。
谢谢

答案1

从 XML 中使用的系统 ID (SID) 来看,这些事件是由您的计算机中安装的软件或系统服务发起的。

这些可能是由您的防病毒软件检查您的安全设置而发出的,但进一步挖掘可能会有用。

也可能是某个进程试图冒充管理员账户并获取超级权限。这种可能性令人担忧。

事件 4625来自 执行文件目录:\Windows\System32\lsass.exe 它是处理安全和身份验证的合法且必要的 Windows 组件。

“登录类型”是2,这意味着交互式登录。令人非常困惑的是,为什么有人会尝试以内置管理员帐户(已禁用)登录您的计算机。我希望您的计算机没有对互联网开放。但是,这不必太担心,因为计算机lsass.exe受到严密保护。

事件 4723更令人担忧的是,有关其发起者的信息仅指定了进程编号,但已经来不及找到更多信息了:

<Execution ProcessID="1124" ThreadID="1172" />

建议

我建议在事件 4723 发生时尝试至少捕获它。

在事件查看器中,您可以右键单击该事件并选择“将任务附加到此事件”,并执行“显示消息(已弃用)”操作。

显示消息后,您可以在事件查看器中找到进程 ID,然后在任务管理器中找到导致该事件的进程。如果任务管理器没有提供足够的信息,请使用更好的 进程探索器


结论/观点

这两起事件都是由引起的lsass.exe,对此我并不担心。

我相信这是 Bitdefender 对计算机进行审核,您可以通过暂时禁用它来验证。Windows Defender 现在几乎与任何其他防病毒软件一样好,并且肯定更好地集成到 Windows 中。

如果你想要更安心,你可以使用更知名的防病毒产品进行深度扫描,例如 卡巴斯基

我想说的是,你的计算机没有被感染。

答案2

为了让其他看到这里的人受益,我可以确认这两个事件日志条目 4723 和 4625 确实是由 Bitdefender 引起的。为什么我不知道。

但是,我最近开始使用 Bitdefender,刚刚注意到了这种现象,这让我很担心。为了进行诊断,我卸载了 Bitdefender,果然问题消失了。

我应该补充一点,在我卸载 Bitdefender 本身后,审核条目仍然会出现。但是,程序和功能中列出了另外 2 个 Bitdefender 程序:Bitdefender VPN 和 Bitdefender Agent。我随后卸载了这两个程序,然后审核失败和密码更改尝试就停止了。我不确定是这两个程序中的哪一个导致了这种情况——我一个接一个地卸载了它们。

我等待 Bitdefender 对这些问题发生的原因作出评论。

编辑:作为最后的诊断,我重新安装了 Bitdefender,问题又出现了。所以这两个事件肯定是由 Bitdefender 引起的。我不知道这是预期行为还是错误。

顺便说一句,这是 Windows 11 Pro,版本 21H2,OS Build 22000.593

编辑2:最后,为了结束这个主题,Bitdefender 已确认这是正常行为,只是由于 Bitdefender Agent 检查是否设置了密码而导致的。

相关内容