Windows-Server-2012

帶有 NULL SID 的 Microsoft-Windows-Security-Auditing 事件是什麼意思?

  • January 18, 2018

在 Windows Server 2012 機器上,在事件查看器中,系統出現了一些異常行為,服務正在停止,我不確定它是“自行停止”還是被使用者操作強制停止。所以我去了Windows logs | Security區域,eventvwr.msc我沒有看到任何普通使用者的登錄,但我確實看到了以下類型的重複模式:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Description:   An account was successfully logged on.
Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0
Logon Type:         3
Impersonation Level:        Impersonation

New Logon:
   Security ID:        SYSTEM
   Logon GUID:     {a7...}
LogonProcessName: Kerberos

我假設這意味著服務正在引導進入 SYSTEM 上下文,並且事件日誌中引用的 NULL SID 只是某些未經身份驗證的系統或核心或服務程式碼的初始狀態。我的解釋是正確的還是別的什麼?

根據登錄程序名稱,我假設這是 Microsoft Kerberos 服務。

本地 SYSTEM 帳戶位於安全子系統之外。

https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx

在本地上下文中,SYSTEM 帳戶是眾所周知的 SID。https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems

但是,如果我們在域控制器上看到該事件,則表明正在通過網路進行訪問。LocalSystem 帳戶在電腦帳戶的上下文中訪問網路資源,因此您應該在 AD 中看到電腦帳戶的 SID,而不是 NULL。所以我仍然不相信它是SYSTEM帳戶的解釋。這是否意味著為域啟用了匿名登錄?

引用自:https://serverfault.com/questions/708775