最近有用户问我是否要查看 VPN 连接,因为他们经常被关闭。我进入事件查看器查看昨晚的登录/注销事件。
在过去几天发生的 47000 起安全事件中,我遇到了 44000 起。它们几乎都是事件 #540“网络登录成功”和 #576“为新登录分配了特殊权限”。
与这个问题类似,但是并没有真正回答:Windows 事件日志中有很多登录/注销事件
为什么会发生这种情况?这是一个问题吗?如果是,该如何解决?
Special privileges assigned to new logon:
User Name: gtaylor
Domain: Domain
Logon ID: (0x0,0x30D14A8)
Privileges: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
和
Successful Network Logon:
User Name: gtaylor
Domain: Domain
Logon ID: (0x0,0x3282453)
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: D-7P9LDP1
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 192.168.1.175
Source Port: 54450
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
答案1
查看每个事件记录的详细信息。它们应该指示哪个主机或 IP 地址正在发起这些请求。它们都是来自您的工作站,还是来自其他地方?如果您的用户名用于您环境中的任何网络服务,请考虑设置服务帐户。