在我们的环境中,我发现了一些事件 ID 为 4776 的事件The computer attempted to validate the credentials for an account。下面显示的是该事件日志的输出,似乎有问题的用户是Guest,这是一个已禁用的帐户:
我还发现了一个相应的事件 ID 4625,如下所示,来自同一时间和同一Guest用户。但是,对于此事件 ID,我可以看到我试图追踪用户的主题用户名。
我的问题是:
- 有人可以解释为什么已禁用的访客帐户尝试登录吗?
- 对于事件 ID 4625,主题用户名和目标用户名有什么区别?我有一个想法,但我不想假设。
答案1
即使 Guest 帐户被禁用,仍然可以尝试使用该帐户登录。该尝试显然会失败(就像这里的情况一样),从而导致事件 4625。
主体和目标之间的区别很简单。主体是报告失败的帐户(例如,这可能是计算机帐户,或 IIS 之类的进程),而目标是登录失败的相关帐户。
您的问题似乎是本地进程尝试以 Guest 帐户登录,PID 为 5744 (0x1670)。因此您应该在任务管理器中看到该进程。
您可以在这里查看更多信息:https://system32.eventsentry.com/security/event/4625