Security

事件查看器中的可疑登錄成功

  • January 13, 2014

希望你能幫忙。我們注意到另一個使用者的本地機器在我們機器的事件查看器中創建了登錄條目。

收到的消息是“一個帳戶已成功登錄”。

下面提供了登錄嘗試的詳細資訊(匿名):

Subject:
Security ID:        NULL SID
Account Name:       -
Account Domain:     -
Logon ID:       0x0

Logon Type:         3

New Logon:
Security ID:        OURDOMAN\SUSPICIOUSID$
Account Name:       SUSPICIOUSID$
Account Domain:     OURDOMAIN
Logon ID:       0x8276c3c
Logon GUID:     {ef03e93f-a27b-c304-92ce-3b244723ccc4}

Process Information:
Process ID:     0x0
Process Name:       -

Network Information:
Workstation Name:   
Source Network Address: IPAddress1
Source Port:        55666

我嘗試使用批處理腳本和 psfile 來獲取它,但在登錄事件發生時它沒有獲取任何東西。當我們測試它時,如果其他人以管理員身份遠端啟動它,它確實會啟動。

批處理文件腳本:

:Start
@echo off
setlocal enabledelayedexpansion
set theValue=x
cd c:/pstools
for /f "delims=" %%a in ('psfile.exe \\MyMachine') do @set theValue=!theValue! %%a
IF not "%theValue%"=="x No files opened remotely on MyMachine." ( echo    %theValue%>>c:/psfileoutput/psfileoutput.txt ) else ( echo "no values" )
timeout 0

轉到開始

我原以為登錄成功會導致某種文件訪問。

有沒有人知道這個登錄可能是什麼?

謝謝

更新:

更新:我的批處理腳本終於成功了:

  x Files opened remotely on MyMachine: [183] \srvsvc User: SuspiciousID$ Locks: 0  Access: Read Write

認證和授權是兩個不同的概念。第一個基本上是驗證登錄憑據,而第二個是檢查使用者有權獲得什麼樣的訪問權限。

\srvsvc不是文件,它是所謂的“命名管道”,主要用作列舉文件伺服器提供的共享的機制 - 這是在 Windows 資源管理器中呼叫文件伺服器時所做的事情(即您輸入\\server在地址欄中)或根據net view \\server要求。由於您的電腦帳戶SUSPICIOUSID$AUTHENTICATED USERS內置組的成員,因此它有權\srvsvc預設使用列出所有域成員的共享。這並不意味著它可以訪問任何列出的共享或其中的文件。

引用自:https://serverfault.com/questions/566119