iT邦幫忙

0

請問 Windows Event Log 4624 問題

請問下列的 AD Windows Event Log 是指 172.18.64.14 這個 IP 用 Domain administrator 的帳號成功登入我們 AD 來做連線的動作 , 還是這 Log 只是正常的 Kerberos 的認証,這台 Client PC 是有加入 AD Domain 的。是一般常見的 AD Log 嗎? 因為 172.18.64.14 是我們公司的 Clinet PC , 如果 Client PC 都可以用 Administraotr 帳號來登入 AD 的話 , 那問題就很大條了 ??

Event ID : 4624
帳戶成功登入。

主體:
安全性識別碼: S-1-0-0
帳戶名稱: -
帳戶網域: -
登入識別碼: 0x0

登入類型: 3

模擬等級: 委派

新登入:
安全性識別碼: S-1-5-20-6777002610-2788942551-2456775597-400
帳戶名稱: administrator
帳戶網域: GLOBAL
登入識別碼: 0xA9617E74
登入 GUID: {B3D22C0F-C817-7719-99DA-257CFF9D8571}

處理程序資訊:
處理程序識別碼: 0x0
處理程序名稱: -

網路資訊:
工作站名稱: -
來源網路位址: 172.18.64.14
來源連接埠: 59156

詳細驗證資訊:
登入程序: Kerberos
驗證封裝: Kerberos
轉送的服務: -
封裝名稱 (僅限 NTLM): -
金鑰長度: 0

當建立登入工作階段的時候,就會產生這個事件。它在被存取的電腦上產生。

主體欄位顯示要求登入之本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。

登入類型欄位顯示發生的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。

新登入欄位顯示是哪個帳戶建立新登入,例如登入的帳戶。

網路欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,而且在某些情況下可能是空白。

模擬等級欄位顯示登入工作階段中的處理程序可以模擬的範圍。

驗證資訊欄位提供關於此特定登入要求的詳細資訊。
- 登入 GUID 是唯一識別碼,可用於關聯這個事件與 KDC 事件。
- 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
- 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
- 金鑰長度顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。

如果 Client PC 都可以用 Administraotr 帳號來登入 AD 的話 , 那問題就很大條了 ??

對, 所以都會記錄管理者的4624跟4625.
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答