我的家庭办公室安装了一个域控制器,1 个域控制器、1 台 PC、1 个用户。我正在运行 Microsoft Server 2019。当我查看安全事件日志时,我看到数千个登录(事件 ID 4624)、注销(事件 ID 4634)和特殊登录(事件 ID 4672)事件 - 每小时生成数百个。
示例登录事件(事件 ID 4624):
主题:安全 ID:NULL SID 帐户名称:- 帐户域:- 登录 ID:0x0
登录信息:登录类型:3 受限管理模式:- 虚拟账户:否 提升令牌:是
模拟级别:委托
新登录:安全 ID:SYSTEM 帐户名称:DC$ 帐户域:ACME.LTD 登录 ID:0x234F28 链接登录 ID:0x0 网络帐户名称:- 网络帐户域:-
我在网上研究过这些内容,发现了相互矛盾的建议,包括服务器已被入侵、网络已被入侵、这是从工作站访问服务器以及服务器对自身进行身份验证。
后者就是为什么我凭直觉清除了日志并断开了服务器与网络的连接——这些事件仍在继续生成。
令人沮丧的是,由于所有这些噪音,我无法发现实际的可疑错误。
任何帮助,将不胜感激!!