我在 Active Directory 域内有两台计算机(其中一台是辅助域控制器),它们分别于去年三月和四月停止记录安全事件。 其他事件日志(应用程序、系统)都是最新的。我可以通过命令行生成应用程序事件,它们显示,除了登录和注销、以管理员身份打开应用程序之外,我不知道如何生成安全事件。如果我重新启动、停止或启动“Windows 事件日志”服务,我可以在安全事件日志中看到相应的事件,但看不到其他内容。 我已经清除了日志,删除了日志文件,重新启动了与 lsass.exe 相关的服务,但“安全帐户管理器”除外,因为它没有提供任何选项。我认为 lsass.exe 无...
当使用 XCOPY 将文件复制到远程计算机时,用于连接远程计算机的凭据是否缓存在该计算机的 LSASS 中? 我试图避免在目标机器上留下任何易受 Mimikatz 攻击的凭据(例如这里)。 编辑:错误链接!该链接指向他们使用不同登录方法(WMIC、PSExec、本地管理员与域管理员、交互式等)进行的一些试验。有些方法缓存了凭据,有些则没有。他们没有测试 XCOPY,所以我想知道是否有人尝试过或确切知道 XCOPY 是否专门缓存凭据。 ...
我在办公室的域中使用 Windows 7 PC。今天查看我的 c:/users 文件夹,我发现了 314 个文件夹,总计 131 GB。文件夹名称似乎是故意随机的,每个文件夹都包含完整的 Windows 配置文件。我们的技术支持团队不知道是什么原因造成的,但他们告诉我这会影响多台 PC。 经过一番努力,我能够删除除一个文件夹之外的所有文件夹(我必须使用 Unlocker 来释放它们并在重新启动时标记为删除。)我无法删除的文件夹有两个子文件夹由 c:\windows\system32\lsass.exe 打开 我对该盒子拥有管理员权限,但无法访问、...
%E2%80%9C%E5%AE%89%E5%85%A8%E5%8C%85%20Kerberos%20%E7%94%9F%E6%88%90%E5%BC%82%E5%B8%B8%E3%80%82%E5%BC%82%E5%B8%B8%E4%BF%A1%E6%81%AF%E6%98%AF%E6%95%B0%E6%8D%AE%E3%80%82%E2%80%9D.png)
我有一台 Windows 服务器(2008 R2 SP1),它作为域控制器运行,并使用网络策略服务器对无线 802.1X 设备进行身份验证。有两个可用的接入点。 突然,由于某种原因,每当其中一个接入点为试图验证 LSA 的无线设备创建 RADIUS 请求时 (lsass.exe) 就会崩溃并显示代码 255,然后系统必须重新启动。RADIUS 请求最终也会失败(代码 4)。如果需要,我可以提供 RADIUS 会话的 Wireshark 转储。 这些系统事件被记录: 活动 #1 **USER32** (ID 1074) The process wini...
最近发现我的电脑运行速度有点慢,我发现一个我从未见过的程序 lsass.exe 几乎一直占用着我大约 25% 的 CPU。如果我关闭它,我会收到一条错误消息,并被告知电脑将在 1 分钟后重新启动。然后我用 ESET 扫描了我的电脑,没有发现病毒。然后我用 Malwarebytes 扫描,发现了 1 个渗透,我让它清理了。然后我重新启动,发现之前运行的 scvhost.exe 的数量减少了一个。lsass.exe 仍然持续占用我 25% 的 CPU,而一个名为 TrustedInstaller.exe 的新程序在启动时占用了大量的 CPU,然后减少到 0% 的...
我正在尝试跟踪内存泄漏lsass.exe,遵循以下指导原则第1条和文章2等等。我已经设置了 gflags lsass.exe,重新启动后,发现它的进程 ID 为 804。现在我运行命令行: umdh-p:804-f:mylog.txt 这立即吐出错误: 错误:无法枚举进程模块。 日志文件没有任何有用的东西: // // UMDH: version 6.2.9200.16384: Logtime 2013-05-16 14:49 - Machine=SHAUL-WORK-LT - > PID=804 // // Debug ...
我正在尝试重新安装 Windows XP,但一直收到消息“此 CD 包含最初安装在 HP Pavilion PC 上的软件的备份,只能用于 HP Pavilion PC。如果您在 HP Pavilion 上收到此消息,请致电 HP 支持”。我有一台 Hp Pavilion 台式机,我姐姐在其中安装了另一个硬盘。 我最近感染了病毒,无法访问 Windows,并显示“lsass.exe 应用程序错误”。在恢复过程中(我有安装盘),它告诉我使用 FDisk,然后我对主硬盘进行了分区。之后,我关闭了计算机,然后使用里面的恢复盘重新打开它。 当我尝试重新安装 Wi...
我有两个进程似乎总是在读取/写入硬盘LSASS.EXE:CRSS.EXE CSRSS.EXE每秒读取 1-2 次 LSASS.EXE写入/读取 1 次/秒 这两个进程都是在启动时启动的。它们为什么要进行如此多的读取/写入操作? ...
我收到错误消息: lsass.exe 0xc0000005 我能做些什么? 我已经尝试以安全模式启动并重新启动以保存配置,但仍然出现相同的错误。 ...
当我通过转到 \\MYCOMPUTERNAME\ 浏览我自己的计算机的共享时;我无法访问我的本地计算机上的任何共享(也无法远程访问它们),并且它会在我的系统事件日志中生成大约 40 个以下错误: 生成了以下致命警报:10。内部错误状态为 1203。 细节: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Schannel" Guid="{1F678132-5938...
WXP-SP3 上的 Zone Alarm 8 防火墙建议我: svchost.exe(Windows 32 服务的通用主机进程) lsass.exe (LSA Shell (导出版本) 两者有时都会尝试访问互联网。 我是否应该允许它们两个或其中一个访问互联网???我在 Google 上搜索了这个问题,但找不到答案。是或否! 谢谢! ...
当我在 Windows(XP)下打开我的电脑时,它经过了加载阶段,但除了显示资源管理器外,它还显示lsass.exe 应用程序错误: 应用程序无法正确初始化(0xc0000005),单击“确定”终止应用程序 我应该怎么做才能解决我的问题? 我不想重新安装新的 Windows。 有人知道为什么会发生这种情况吗? ...
我发现我们的一台 Windows Server(2008 R2) 使用了 98% 的内存(总共 16GB)。在任务管理器中,执行文件发现使用约15 GB内存。重启服务器后,lsass.exe占用约10MB内存,然后每1min~3min增加约348 KB. Windows 服务器正在运行 WinCC 和OPC ua 服务器。 我们尝试了一些方法来解决这个问题,但都没有用:( 重启服务器,不启动 wincc 或 opcua 服务器。重启后 lsass.exe 的内存仍然增加。 使用杀毒软件扫描服务器,没有发现病毒...
我们的一个用户每周都会被 AD 锁定一次。我通过检查域控制器上的事件 4740 确定了导致锁定的源计算机。 通过 Sysinternal 工具中的 Procmon 监控网络活动,锁定时与我们的域控制器通信的唯一进程是 lsass.exe。我可以通过使用错误的密码进行身份验证来手动重现帐户锁定,并验证确实是 lsass.exe 导致锁定。 1..30 | ForEach-Object {Start-Process calc.exe -Credential (New-Object System.Management.Automation.PSCredential...
我对 Windows 11 进行了 Windows 更新,从那时起,我就无法使用 MSTSC 连接到远程计算机,错误是“发生身份验证错误。无法联系本地安全机构。”我可以从其他来源连接到同一台远程计算机。谷歌搜索此问题主要集中在修复远程计算机,我已经证明这不是问题所在。 我也尝试使用其他技术连接到其他项目,但遇到了错误。例如,使用 AzureServiceBusExplorer 连接到 Azure 服务总线失败,导致以下错误“请求已中止:无法创建 SSL/TLS 安全通道。” 尝试从 Visual Studio 连接到 Azure DevOps 时出现以下错误...