iT邦幫忙

0

大量異常Guest登入 請問如何追蹤 是哪裡觸發?

網域是TEX

電腦名稱是AP1

經常在事件檢視器看到大量登入失敗
帳戶名稱:Guest

但不是每天都有可能隔數天才會出現
感覺像是有時候帳號登入隔兩分鐘後會出現
但並不會每次登入都會有

請問有什麼方式可以追蹤 登入Guest失敗是哪裡引發的

Guest帳號已停用

拜託各位大神

帳戶無法登入。

主旨:
安全性識別碼: TEX\gpteam
帳戶名稱: TEXteam
帳戶網域: TEX
登入識別碼: 0x12DDF77D

登入類型: 3

登入失敗的帳戶:
安全性識別碼: NULL SID
帳戶名稱: Guest
帳戶網域: AP1

失敗資訊:
失敗原因: 不明的使用者名稱或錯誤密碼。
狀態: 0xC000006D
子狀態: 0xC000006A

處理程序資訊:
呼叫者處理程序識別碼: 0xe7c
呼叫者處理程序名稱: C:\Windows\explorer.exe

網路資訊:
工作站名稱: AP1
來源網路位址: -
來源連接埠: -

詳細驗證資訊:
登入處理程序: Advapi
驗證封裝: Negotiate
轉送的服務: -
封裝名稱 (僅限 NTLM): -
金鑰長度: 0

當登入要求失敗的時候,就會產生這個事件。這個事件在嘗試存取的電腦上產生。

主旨欄位顯示要求登入的本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。

登錄類型欄位顯示要求的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。

處理程序資訊欄位顯示系統上哪個帳戶與處理程序要求登入。

網路資訊欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,並可能在某些狀況是空白。

驗證資訊欄位提供關於此次特定登入要求的詳細資訊。
- 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
- 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
- 金鑰長度欄位顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
echochio
iT邦高手 1 級 ‧ 2019-12-18 17:30:32

沒有 ....
來源網路位址: -
來源連接埠: -
來源有可能是本機 ....
那要看看在同時還有哪些錯誤 , 是不是有本機服務用 Guest 來啟動的 ?

看更多先前的回應...收起先前的回應...
chsinzk iT邦研究生 2 級 ‧ 2019-12-19 10:00:29 檢舉

您好
我自己看Log也覺得是本機
但是登入類別顯示3 網路?
服務的部分 登入身分沒有看到Guest

chsinzk iT邦研究生 2 級 ‧ 2019-12-19 10:05:51 檢舉

https://ithelp.ithome.com.tw/upload/images/20191219/20103116jtqf1EkHi4.png

chsinzk iT邦研究生 2 級 ‧ 2019-12-19 10:06:12 檢舉

https://ithelp.ithome.com.tw/upload/images/20191219/20103116NKwsn40ezK.png

chsinzk iT邦研究生 2 級 ‧ 2019-12-19 10:06:39 檢舉

https://ithelp.ithome.com.tw/upload/images/20191219/20103116lRdkur0zbw.png

chsinzk iT邦研究生 2 級 ‧ 2019-12-19 10:07:01 檢舉

https://ithelp.ithome.com.tw/upload/images/20191219/20103116K1Lu2i1tle.png

我要發表回答

立即登入回答