Windows-Server-2003
午夜“帳戶被鎖定”安全事件
最近三個午夜,我在日誌中收到了一個事件 ID 539……關於我自己的帳戶:
Event Type: Failure Audit Event Source: Security Event Category: Logon/Logoff Event ID: 539 Date: 2010-04-26 Time: 12:00:20 AM User: NT AUTHORITY\SYSTEM Computer: SERVERNAME Description: Logon Failure: Reason: Account locked out User Name: MyUser Domain: MYDOMAIN Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: SERVERNAME Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: - Source Port: -
它總是在午夜的半分鐘內。在此之前沒有登錄嘗試。緊隨其後(在同一秒內)有一個成功的審計條目:
Logon attempt using explicit credentials: Logged on user: User Name: SERVERNAME$ Domain: MYDOMAIN Logon ID: (0x0,0x3E7) Logon GUID: - User whose credentials were used: Target User Name: MyUser Target Domain: MYDOMAIN Target Logon GUID: - Target Server Name: servername.mydomain.lan Target Server Info: servername.mydomain.lan Caller Process ID: 2724 Source Network Address: - Source Port: -
他們三個的程序 ID 都是相同的,所以我查了一下,現在至少它映射到 TCP/IP 服務(Microsoft)。
我不相信我在星期五改變了任何政策或任何事情。我該如何解釋這個?
您是否有在您的帳戶下執行並在午夜連接到共享的計劃任務?事件 ID 552(第二個事件)通常在使用者(在本例中為系統)使用 runas 作為另一個帳戶執行程序時生成。
但是,仔細觀察後,登錄 ID:(0x0,0x3E7)- 表明服務是進行模擬的服務。仔細查看機器上的服務。如果另一台機器正在使用您的憑據映射驅動器並且保存的憑據已過期,您也可以獲得此資訊。由於該服務是 tcpip,這就是我現在押注我的鎳的地方。