多数のログが 4624,4625 に表示され、イベント 4627,4672 が付随します

昨日Douyinを見て、マウスを動かしたのを見つけました.ハッキングされたのではないかと心配しました.その後、システムを再インストールしました.再インストールしたシステムにも4672,4627,4624イベントがありました

アカウントに正常にログインしました...

ユーザー:

セキュリティID:SYSTEM

アカウントのタイトル:DESKTOP-32DTIMB $

アカウントドメイン:WORKGROUP

ログインID:0x3E7

ログイン情報:

ログインタイプ:5

制限付き管理モード:-

仮想アカウント:いいえ

昇格されたトークン:はい

シミュレーションレベル:シミュレーション

新規ログイン:

セキュリティID:SYSTEM

アカウントのタイトル:SYSTEM

アカウントドメイン:NTAUTHORITY

ログインID:0x3E7

リンクされたログインID:0x0

ネットワークアカウント名:-

ネットワークアカウントドメイン:-

ログインGUID:{00000000-0000-0000-0000-000000000000}

プロセス情報:

プロセスID:0x2e4

プロセス名:C:\Windows\System32\services.exe

ネットワーク情報:

ワークステーション名:-

送信元ネットワークアドレス:-

ソースポート:-

詳細な認証情報:

ログインプロセス:Advapi

認証パケット:ネゴシエート

提供されるサービス:-

パケット名...

[プロセス情報]フィールドは、システム上のどのアカウントとプロセスがログインを要求したかを示します...

[ネットワーク情報]フィールドは、telnet要求の送信元を示します...[ワークステーション名]は常に使用できるとは限らず、場合によっては空白のままになることがあります...

[認証情報]フィールドには、この特定のログイン要求に関する詳細が表示されます...

-「配信サービス」は、このログイン要求に参加した直接サービスを示します...

-「パケット名」は、NTLMプロトコル間で使用されるサブプロトコルを示します...

-「キーの長さ」は、生成されたセッションキーの長さを示します...セッションキーが要求されなかった場合、このフィールドは0です...

ドメインポリシーが変更されました...

タイプの変更:ロックアウトポリシーが変更されました

ユーザー:

セキュリティID:DESKTOP-32DTIMB\mg

アカウント名:mg

アカウントドメイン:DESKTOP-32DTIMB

ログインID:0x36402

ドメイン:

ドメイン名:DESKTOP-32DTIMB

ドメインID:DESKTOP-32DTIMB\

変更されたプロパティ:

パスワードの最低年齢:-

パスワードの最大有効期間:-

強制ログアウト:-

ロックアウトしきい値:5

ウォッチwindows をロックする:

ロックアウト期間:

パスワード属性:

パスワードの最小の長さ:

パスワード履歴の長さ:

コンピューターアカウントの割り当て:

混合ドメインモード:

ドメイン動作version:

OEM情報:-

追加情報:

特権:-

明示的な資格情報を使用してログインしようとしています...

ユーザー:

セキュリティID:DESKTOP-32DTIMB\mg

アカウント名:mg

アカウントドメイン:DESKTOP-32DTIMB

ログインID:0x3643A

ログインGUID:{00000000-0000-0000-0000-000000000000}

使用されたアカウントの資格情報:

アカウント名:admin

アカウントドメイン:DESKTOP-32DTIMB

ログインGUID:{00000000-0000-0000-0000-000000000000}

ターゲットサーバー:

ターゲットサーバー名:nas

追加情報:nas

プロセス情報:

プロセスID:0x4

プロセス名:

ネットワーク情報:

ネットワークアドレス:192.168.50.6

港:445

このイベントは、プロセスがクレデンシャルを明示的に指定してアカウントにログインしようとしたときに生成されます...これは通常、バッチタイプの構成(スケジュールされたタスクなど)で、またはRUNASコマンドを使用したときに発生します...RUNASp>