Kev*_*Kev 5 security windows-server-2003 windows-event-log
最近三个午夜,我在日志中收到了一个事件 ID 539...关于我自己的帐户:
Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 539
Date: 2010-04-26
Time: 12:00:20 AM
User: NT AUTHORITY\SYSTEM
Computer: SERVERNAME
Description:
Logon Failure:
Reason: Account locked out
User Name: MyUser
Domain: MYDOMAIN
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: SERVERNAME
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
总是在午夜的半分钟内。在它之前没有登录尝试。在它之后(在同一秒内)有一个成功审计条目:
Logon attempt using explicit credentials:
Logged on user:
User Name: SERVERNAME$
Domain: MYDOMAIN
Logon ID: (0x0,0x3E7)
Logon GUID: -
User whose credentials were used:
Target User Name: MyUser
Target Domain: MYDOMAIN
Target Logon GUID: -
Target Server Name: servername.mydomain.lan
Target Server Info: servername.mydomain.lan
Caller Process ID: 2724
Source Network Address: -
Source Port: -
他们三个的进程 ID 是一样的,所以我查了一下,现在至少它映射到 TCP/IP 服务(微软)。
我不相信我在周五改变了任何政策或任何事情。我应该如何解释这个?
您的帐户下是否有一个在午夜连接到共享的计划任务?当用户(在本例中为系统)使用 runas 作为另一个帐户运行进程时,通常会生成事件 ID 552(第二个事件)。
然而,仔细观察后,登录 ID:(0x0,0x3E7) - 显示该服务是进行模拟的服务。仔细看看机器上的服务。如果另一台计算机正在使用您的凭据映射驱动器并且保存的凭据已过期,您也可能会收到此消息。由于该服务是 tcpip,所以我现在就将赌注押在该服务上。