Windows-Server-2012
帶有 NULL SID 的 Microsoft-Windows-Security-Auditing 事件是什麼意思?
在 Windows Server 2012 機器上,在事件查看器中,系統出現了一些異常行為,服務正在停止,我不確定它是“自行停止”還是被使用者操作強制停止。所以我去了
Windows logs | Security
區域,eventvwr.msc
我沒有看到任何普通使用者的登錄,但我確實看到了以下類型的重複模式:Log Name: Security Source: Microsoft-Windows-Security-Auditing Task Category: Logon Level: Information Keywords: Audit Success User: N/A Description: An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Impersonation Level: Impersonation New Logon: Security ID: SYSTEM Logon GUID: {a7...} LogonProcessName: Kerberos
我假設這意味著服務正在引導進入 SYSTEM 上下文,並且事件日誌中引用的 NULL SID 只是某些未經身份驗證的系統或核心或服務程式碼的初始狀態。我的解釋是正確的還是別的什麼?
根據登錄程序名稱,我假設這是 Microsoft Kerberos 服務。
本地 SYSTEM 帳戶位於安全子系統之外。
https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx
在本地上下文中,SYSTEM 帳戶是眾所周知的 SID。https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems
但是,如果我們在域控制器上看到該事件,則表明正在通過網路進行訪問。LocalSystem 帳戶在電腦帳戶的上下文中訪問網路資源,因此您應該在 AD 中看到電腦帳戶的 SID,而不是 NULL。所以我仍然不相信它是SYSTEM帳戶的解釋。這是否意味著為域啟用了匿名登錄?