多数のログが 4624,4625 に表示され、イベント 4627,4672 が付随します
昨日Douyinを見て、マウスを動かしたのを見つけました.ハッキングされたのではないかと心配しました.その後、システムを再インストールしました.再インストールしたシステムにも4672,4627,4624
イベントがありました
アカウントに正常にログインしました...
ユーザー:
セキュリティID:SYSTEM
アカウントのタイトル:DESKTOP-32DTIMB $
アカウントドメイン:WORKGROUP
ログインID:0x3E7
ログイン情報:
ログインタイプ:5
制限付き管理モード:-
仮想アカウント:いいえ
昇格されたトークン:はい
シミュレーションレベル:シミュレーション
新規ログイン:
セキュリティID:SYSTEM
アカウントのタイトル:SYSTEM
アカウントドメイン:NTAUTHORITY
ログインID:0x3E7
リンクされたログインID:0x0
ネットワークアカウント名:-
ネットワークアカウントドメイン:-
ログインGUID:
{00000000-0000-0000-0000-000000000000}
プロセス情報:
プロセスID:0x2e4
プロセス名:C:\Windows\System32\services.exe
ネットワーク情報:
ワークステーション名:-
送信元ネットワークアドレス:-
ソースポート:-
詳細な認証情報:
ログインプロセス:Advapi
認証パケット:ネゴシエート
提供されるサービス:-
パケット名...
[プロセス情報]フィールドは、システム上のどのアカウントとプロセスがログインを要求したかを示します...
[ネットワーク情報]フィールドは、telnet要求の送信元を示します...[ワークステーション名]は常に使用できるとは限らず、場合によっては空白のままになることがあります...
[認証情報]フィールドには、この特定のログイン要求に関する詳細が表示されます...
-「配信サービス」は、このログイン要求に参加した直接サービスを示します...
-「パケット名」は、NTLM
プロトコル間で使用されるサブプロトコルを示します...
-「キーの長さ」は、生成されたセッションキーの長さを示します...セッションキーが要求されなかった場合、このフィールドは0です...
ドメインポリシーが変更されました...
タイプの変更:ロックアウトポリシーが変更されました
ユーザー:
セキュリティID:DESKTOP-32DTIMB\mg
アカウント名:mg
アカウントドメイン:DESKTOP-32DTIMB
ログインID:0x36402
ドメイン:
ドメイン名:DESKTOP-32DTIMB
ドメインID:DESKTOP-32DTIMB\
変更されたプロパティ:
パスワードの最低年齢:-
パスワードの最大有効期間:-
強制ログアウト:-
ロックアウトしきい値:5
ウォッチwindows をロックする:
ロックアウト期間:
パスワード属性:
パスワードの最小の長さ:
パスワード履歴の長さ:
コンピューターアカウントの割り当て:
混合ドメインモード:
ドメイン動作version:
OEM情報:-
追加情報:
特権:-
明示的な資格情報を使用してログインしようとしています...
ユーザー:
セキュリティID:DESKTOP-32DTIMB\mg
アカウント名:mg
アカウントドメイン:DESKTOP-32DTIMB
ログインID:0x3643A
ログインGUID:
{00000000-0000-0000-0000-000000000000}
使用されたアカウントの資格情報:
アカウント名:admin
アカウントドメイン:DESKTOP-32DTIMB
ログインGUID:
{00000000-0000-0000-0000-000000000000}
ターゲットサーバー:
ターゲットサーバー名:nas
追加情報:nas
プロセス情報:
プロセスID:0x4
プロセス名:
ネットワーク情報:
ネットワークアドレス:192.168.50.6
港:445
このイベントは、プロセスがクレデンシャルを明示的に指定してアカウントにログインしようとしたときに生成されます...これは通常、バッチタイプの構成(スケジュールされたタスクなど)で、またはRUNAS
コマンドを使用したときに発生します...RUNASp>
返信リスト(回答:1)
4625
が360システムのセキュリティ保護のScanであることを確認しましたが、4624
が引き続き表示されます.これはなぜですか?