Windows-Server-2003

午夜“帳戶被鎖定”安全事件

  • December 19, 2014

最近三個午夜,我在日誌中收到了一個事件 ID 539……關於我自己的帳戶:

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   539
Date:       2010-04-26
Time:       12:00:20 AM
User:       NT AUTHORITY\SYSTEM
Computer:   SERVERNAME
Description:
Logon Failure:
   Reason:     Account locked out
   User Name:  MyUser
   Domain: MYDOMAIN
   Logon Type: 3
   Logon Process:  NtLmSsp 
   Authentication Package: NTLM
   Workstation Name:   SERVERNAME
   Caller User Name:   -
   Caller Domain:  -
   Caller Logon ID:    -
   Caller Process ID: -
   Transited Services: -
   Source Network Address: -
   Source Port:    -

它總是在午夜的半分鐘內。在此之前沒有登錄嘗試。緊隨其後(在同一秒內)有一個成功的審計條目:

Logon attempt using explicit credentials:
Logged on user:
   User Name:  SERVERNAME$
   Domain:     MYDOMAIN
   Logon ID:       (0x0,0x3E7)
   Logon GUID: -
User whose credentials were used:
   Target User Name:   MyUser
   Target Domain:  MYDOMAIN
   Target Logon GUID: -

Target Server Name:    servername.mydomain.lan
Target Server Info:    servername.mydomain.lan
Caller Process ID: 2724
Source Network Address:    -
Source Port:   -

他們三個的程序 ID 都是相同的,所以我查了一下,現在至少它映射到 TCP/IP 服務(Microsoft)。

我不相信我在星期五改變了任何政策或任何事情。我該如何解釋這個?

您是否有在您的帳戶下執行並在午夜連接到共享的計劃任務?事件 ID 552(第二個事件)通常在使用者(在本例中為系統)使用 runas 作為另一個帳戶執行程序時生成。

但是,仔細觀察後,登錄 ID:(0x0,0x3E7)- 表明服務是進行模擬的服務。仔細查看機器上的服務。如果另一台機器正在使用您的憑據映射驅動器並且保存的憑據已過期,您也可以獲得此資訊。由於該服務是 tcpip,這就是我現在押注我的鎳的地方。

引用自:https://serverfault.com/questions/135840