システムwiki

Win10 PCでも監査を続けてください

Alex_Tu 受付中 最終更新日:2021-04-27 13:30

あなたのコンピュータが睡眠に行った後にあなたのコンピュータが活動を続けるとき、それでもあなたのwindows 10を維持するのは正常ですか?昨日私は私のPC上にいくつかのものをダウンロードしてそれをオフにするのを忘れていました.翌朝イベントビューアを開く奇妙な活動がある
セキュリティログでは、私はPCにいません.イベントIDは、4624,4672,5379です.

ログ詳細:

アカウントが正常にログオンされました.

対象:

セキュリティID:システム

アカウント名:Desktop-RPDVPC8 $

アカウントドメイン:ワークグループ

ログオンID:0x3E7

ログオン情報:

ログオンタイプ:5

制限管理モード:-

仮想アカウント:いいえ

上昇トークン:はい

偽装レベル:偽装

新しいログオン:

セキュリティID:システム

アカウント名:システム

アカウントドメイン:NT認証局

ログオンID:0x3E7

リンクログオンID:0x0

ネットワークアカウント名:-

ネットワークアカウントドメイン:-

ログオンGUID:{00000000-0000-0000-0000-000000000000}

プロセス情報:

プロセスID:0x294

プロセス名:C:\Windows\System32\Services.exe

ネットワーク情報:

ワークステーション名:-

ソースネットワークアドレス:-

ソースポート:-

詳細認証情報:

ログオンプロセス:ADVAPI

認証パッケージ:交渉

継続サービス:-

パッケージ名(NTLMのみ):-

キーの長さ:0

このイベントは、ログオンセッションが作成されたときに生成されます.アクセスされたコンピュータ上で生成されます.

件名フィールドは、ログオンを要求したローカルシステム上のアカウントを示します.これは最も一般的にはサーバーサービス、Winlogon.exeまたはServices.exeなどのローカルプロセスなどのサービスです.

ログオンタイプフィールドは、発生したログオンの種類を示します.最も一般的なタイプは2(Interactive)と3(ネットワーク)です.

新しいログオンフィールドは、新しいログオンが作成されたアカウント、すなわちログオンしたアカウントを示します.

ネットワークフィールドは、リモートログオン要求が発生した場所を示します.ワークステーション名は必ずしも使用可能ではなく、場合によっては空白のままになることがあります.

偽装レベルフィールドは、ログオンセッション内のプロセスが偽装できる範囲を示します.

認証情報フィールドは、この特定のログオン要求に関する詳細情報を提供します.

-Logon GUIDは、このイベントをKDCイベントと関連付けるために使用できる一意の識別子です.

-遷移サービスこのログオン要求にどの中間サービスが参加したかを示します.

-パッケージ名NTLMプロトコルの中からどのサブプロトコルを使用したかを示します.

-キーの長さのセッションキーの長さを示します.セッションキーが要求されていない場合は0になります.

他の誰かが私を説明することができますか?私のPCは寝ているとき、またはそれがwindows での普通の活動であるときにハイジャックです

返信リスト(回答:3)

3 #
Mala

こんにちは、

マイクロソフトコミュニティフォーラムに書いていただきありがとうございます.

問題をより明確にしてあなたをガイドするために、それに応じてあなたをガイドするために、以下にリストされている質問に返信します.

  1. コンピュータはドメイン(組織)ネットワークに接続されていますか?

  2. 最近コンピュータにセキュリティソフトウェアApplicationをインストールすることを注意していますか?

    3. その間、問題を解決するために以下のステップに従うことをお勧めします.

    ステップ1:エンドADVAPIプロセス.

    スタートメニューと右クリックして選択する Task Manager>タスクマネージャを開くAdvapi>>>右クリックして選択 詳細に移動します>exeファイルを実行している 終了タスク右クリックします.

    ステップ2:マイクロソフトの安全スキャナー.

    Microsoft Safety Scannerは、Windowsコンピュータからマルウェアを見つけて削除するように設計されたScanツールです.ダウンロードしてマルウェアを見つけるためにScanを実行して、識別された脅威によって行われた変更を逆にしてみてください.続ける 論文 問題に関するより多くの情報を得るために

    データ損失免責事項:これらの手順を実行しながら、データの損失のリスクがある可能性があります.手順を実行する前にデータのバックアップを受けることができます.

    それが役立つことを願っています.

    応答3# ->にスキップ
    1 #
    Alex

    1)はい私のコンピュータは私自身のホームネットワークに接続されています.それは安全ですか?

    2)私は任意のセキュリティソフトウェアApplicationをインストールしなかったことを覚えています.

    ところで、私は自分のタスクマネージャのすべての検索を開始しますが、ファイル名ADVAPIが見つかりません.Advapiは私のPCを傷つけているか、それはマルウェアApplicationですか?

    さらに、私はMicrosoft Safety Scannerを使用しましたが、まだウイルスやマルウェアが表示されていません!

    応答1# ->にスキップ
    2 #
    Mala

    こんにちは、

    対応が遅れて申し訳ありません.

    サービスが内部で開始されると、ログオンIDが作成されます.サードパーティのセキュリティソフトウェアをインストールするときに、いくつかのプロセスが追加されることがあります.したがって、クリーンブートを介してすべてのセキュリティサービスを停止することをお勧めします.コンピューターでクリーンブートを実行する
    Windowsでクリーンブートを実行する方法.一度
    それでは、コンピュータを親切に再起動してください.