Windows-Server-2012

帶有 NULL SID 的 Microsoft-Windows-Security-Auditing 事件是什麼意思?

  • January 18, 2018

在 Windows Server 2012 機器上,在事件查看器中,系統出現了一些異常行為,服務正在停止,我不確定它是“自行停止”還是被使用者操作強制停止。所以我去了Windows logs | Security區域,eventvwr.msc我沒有看到任何普通使用者的登錄,但我確實看到了以下類型的重複模式:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Description:   An account was successfully logged on.
Subject:
   Security ID:        NULL SID
   Account Name:       -
   Account Domain:     -
   Logon ID:       0x0
Logon Type:         3
Impersonation Level:        Impersonation

New Logon:
   Security ID:        SYSTEM
   Logon GUID:     {a7...}
LogonProcessName: Kerberos

我假設這意味著服務正在引導進入 SYSTEM 上下文,並且事件日誌中引用的 NULL SID 只是某些未經身份驗證的系統或核心或服務程式碼的初始狀態。我的解釋是正確的還是別的什麼?

根據登錄程序名稱,我假設這是 Microsoft Kerberos 服務。

本地 SYSTEM 帳戶位於安全子系統之外。

https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx

在本地上下文中,SYSTEM 帳戶是眾所周知的 SID。https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems

但是,如果我們在域控制器上看到該事件,則表明正在通過網路進行訪問。LocalSystem 帳戶在電腦帳戶的上下文中訪問網路資源,因此您應該在 AD 中看到電腦帳戶的 SID,而不是 NULL。所以我仍然不相信它是SYSTEM帳戶的解釋。這是否意味著為域啟用了匿名登錄?

引用自:https://serverfault.com/questions/708775

相關問答

Windows-Server-2008

Windows Server 重啟/關機歷史

  • August 31, 2021
檢視問答
Windows-Server-2012

會話“NT Kernel Logger”啟動失敗

  • August 28, 2020
檢視問答
Windows-Server-2008-R2

Windows 事件日誌中超過 4 GB 的含義是什麼?

  • August 3, 2018
檢視問答
Windows

從安全審核事件日誌中導出帳戶名稱、域和時間戳

  • April 9, 2018
檢視問答
Windows-Server-2012

AVR Boost Active (APCPBEAgen) 警告 Windows Server 2012 事件日誌

  • June 1, 2016
檢視問答
Windows-Server-2012

Windows 2012 事件日誌的預設保留和歸檔機制是什麼?

  • December 22, 2015
檢視問答