Windows-Server-2012

事件查看器中的大量登錄/關閉事件

  • September 2, 2016

我在 VMware 中執行 Win2012 伺服器,我已經安裝了 IIS、NAP、VPN、DHCP、DNS、WDS、AD DS、AD CS。我的域中有 win7 客戶端,但它們沒有打開。

問題是,我收到了大量 ID 為 4634、4624 和 4672 的事件。我幾乎每 2 秒收到 1 個事件。它們都來自我的 Win2012 伺服器。

我的活動查看器

登錄事件範例:

An account was successfully logged on.
Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0

Logon Type:         3

Impersonation Level:        Delegation

New Logon:
   Security ID:        SYSTEM
   Account Name:       DC-SERVER$
   Account Domain:     SKOLE
   Logon ID:       0x20BE923
   Logon GUID:     GUID

Process Information:
   Process ID:     0x0
   Process Name:       -

Network Information:
   Workstation Name:   
   Source Network Address: fe80::e130:38a0:ae35:35bd
   Source Port:        58047

Detailed Authentication Information:
   Logon Process:      Kerberos
   Authentication Package: Kerberos
   Transited Services: -
   Package Name (NTLM only):   -
   Key Length:     0

模擬在委派和模擬之間發生變化。源埠也一直在變化。

如您所見,這些事件在同一秒內發生了多次。我完全不知道是什麼原因造成的。我已經用Google搜尋並蒐索了論壇的答案,但我找不到任何有幫助的東西。

對於任何告訴我關閉審計的人——不,我不會,我想找到問題或得到一個好的解釋。

更新:

顯然我已經有這個問題很長一段時間了,但直到現在我才真正注意到。我有我的伺服器的快照,我沒有安裝 NAP、VPN 和 AD CS,但我仍然收到大量事件。我確信這與AD有關。有誰可以幫忙嗎?

從包含 DC 的伺服器的名稱來看,我假設這是一個域控制器。

另請注意,登錄類型為 3,表示網路登錄。

對於登錄類型為 3 的 4624 和 4634 事件:

您會在域控制器上看到很多這些事件,因為它的主要業務是身份驗證……

通常這些非常嘈雜,並且不常用於實際取證。無需其他應用程序即可過濾掉噪音。

在域控制器上,您經常會在同一使用者的身份驗證事件之後立即看到一個或多個登錄/註銷對。 但是這些登錄/註銷事件是由本地電腦上的組策略客戶端生成的,該客戶端從域控制器中檢索適用的組策略對象,以便可以為該使用者應用策略。然後大約每 90 分鐘,Windows 會刷新組策略,您會再次看到域控制器上的網路登錄和註銷。 這些網路登錄/註銷事件只不過是噪音。

由於記錄和跟踪的資訊量很大,成功的網路登錄和註銷事件只不過是域控制器和成員伺服器上的“噪音”。不幸的是,您不能只禁用成功的網路登錄/註銷事件,而不會失去互動式、遠端桌面等的其他登錄/註銷事件。不能從 Windows 安全日誌​​中配置雜訊;這就是您的日誌管理/SIEM 解決方案的工作。

對於 4672(特殊登錄事件):

這來自任何需要特殊權限的東西。

以管理員權限執行計劃任務,以管理員身份執行的應用程序勾選,或僅使用管理員帳戶登錄,…

您可以查看這些並查看使用特權執行的內容以及是否應該執行。

引用自:https://serverfault.com/questions/800403