在 Windows Server 2012 计算机上,在事件查看器中,系统上出现了一些异常行为,服务正在停止,我不确定它是“自行停止”还是被用户操作强制停止。因此,我进入该Windows logs | Security区域eventvwr.msc,没有看到任何普通用户的登录,但我确实看到了以下重复的模式:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Description: An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Impersonation
New Logon:
Security ID: SYSTEM
Logon GUID: {a7...}
LogonProcessName: Kerberos
我假设这意味着服务正在引导到 SYSTEM 上下文中,并且事件日志中引用的 NULL SID 只是某些未经身份验证的系统或内核或服务代码的初始状态。我的解释正确吗?还是另有原因?
根据登录过程名称,我假设这是 Microsoft Kerberos 服务。
答案1
答案2
在本地上下文中,SYSTEM 帐户是一个众所周知的 SID。https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems
但是如果我们在域控制器上看到该事件,则表示网络上正在访问某些内容。本地系统帐户在计算机帐户的上下文中访问网络资源,因此您应该在 AD 中看到计算机帐户的 SID,而不是 NULL。所以我仍然不相信它是系统帐户的解释。这是否意味着域已启用匿名登录?