在我的 Windows 8.1 桌面上,我lsass.exe在事件查看器的审核日志中看到了很多这样的消息:
An attempt was made to query the existence of a blank password for an account.
Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE
Account Domain: NT AUTHORITY
Logon ID: 0x3E5
Additional Information:
Caller Workstation: PETTER
Target Account Name: Administrator
Target Account Domain: PETTER
它那张曾经在一段时间了几个不同的目标帐户的名称,如Administrator,Guest,HomeGroupUser$,等这条消息显示出来在一定的时间间隔,无论我是否连接到互联网或没有。
为了确保这背后没有恶意,我对 Malwarebytes、Trend Micro 和 AVG 进行了病毒检查,他们一致认为系统实际上是干净的。
然后我重新安装了一个干净的系统;一段时间后,消息仍然重新出现。
系统是否连接到网络似乎并不重要;即使拔掉网络电缆,也会出现这些消息。(考虑到它作为S-1-5-19“本地服务”运行,也许并不奇怪。)
奇怪的是,在互联网上,似乎有很多其他人也遇到过这个问题,但那里的线索和问题仍未得到解答。
这些消息的来源是什么,为什么要不断扫描空密码?
这是输出auditpol:
C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is …