windows-server-2003 – 午夜“帐户锁定”安全事件

发布时间：2020-12-14 00:05:50 所属栏目：Windows 来源：网络整理

导读：最后三个午夜我在日志中得到了事件ID 539 …关于我自己的帐户： Event Type: Failure AuditEvent Source: SecurityEvent Category: Logon/Logoff Event ID: 539Date: 2010-04-26Time: 12:00:20 AMUser: NT AUTHORITYSYSTEMComputer: SERVERNAMEDescription:

最后三个午夜我在日志中得到了事件ID 539 …关于我自己的帐户：

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   539
Date:       2010-04-26
Time:       12:00:20 AM
User:       NT AUTHORITYSYSTEM
Computer:   SERVERNAME
Description:
Logon Failure:
    Reason:     Account locked out
    User Name:  MyUser
    Domain: MYDOMAIN
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   SERVERNAME
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: -
    Source Port:    -

它总是在午夜的半分钟之内.之前没有登录尝试.在它之后(在同一秒内)有一个成功的审计条目：

Logon attempt using explicit credentials:
 Logged on user:
    User Name:  SERVERNAME$
    Domain:     MYDOMAIN
    Logon ID:       (0x0,0x3E7)
    Logon GUID: -
 User whose credentials were used:
    Target User Name:   MyUser
    Target Domain:  MYDOMAIN
    Target Logon GUID: -

 Target Server Name:    servername.mydomain.lan
 Target Server Info:    servername.mydomain.lan
 Caller Process ID: 2724
 Source Network Address:    -
 Source Port:   -

所有这三个进程ID都相同,所以我查了一下,现在至少它映射到TCP / IP Services(Microsoft).

我不相信我在周五更改了任何政策或任何内容.我该怎么解释这个？

您是否有在您的帐户下运行的计划任务,该计划在午夜连接到共享？当用户(在本例中为系统)使用runas将进程作为另一个帐户运行时,通常会生成事件ID 552(第二个事件).

但是,仔细观察,登录ID：(0x0,0x3E7) – 表明服务是进行模拟的服务.仔细看看机器上的服务.如果另一台计算机使用您的凭据映射驱动器并且保存的凭据已过期,您也可以获取此信息.因为服务是tcpip,所以我现在打赌我的镍.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!