iT邦幫忙

0

事件LOG分析問題

  • 分享至 

  • xImage

請教大家
在win10 電腦遇到下列的事件紀錄
主旨:
安全性識別碼: SYSTEM
帳戶名稱: DESKTOPLUK03$ (電腦名稱$)
帳戶網域: DEMO
登入識別碼: 0x3e7
登入類型: 2
登入失敗的帳戶:
安全性識別碼: NULL SID
帳戶名稱: Anderson Hsu
帳戶網域: DEMO

失敗資訊:
失敗原因: 不明的使用者名稱或錯誤密碼
狀態: 0xc000006d
子狀態:0xc000006a
處理程序資訊:
呼叫者處理程序識別碼: 0x904
呼叫者處理程序名稱: c:\windows\system32\svchost.exe
這看起來不像 user自己的操作動作產生, 但在電腦上並沒有看到任何記憶密碼的情況, 是否有其他排除建議方式, 謝謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
dogxxx
iT邦新手 5 級 ‧ 2023-04-06 01:55:23
  • Logon Type 2 – Interactive 基本上會是從 Local 端登入的登入類型。
  • 狀態 0xc000006d,表示該使用者帳戶被拒絕登入。

基本上可以從從上面兩個條件來推測這 Event Log 代表的是一個 User 在嘗試登入本機時輸入了錯誤的帳戶名稱或密碼,並被拒絕登入。通常想要理解一個 Event Log 可以先去查官方文檔,然後再各大論壇或部落格有沒有人有相關的說明。

如果要有其他排除建議,最好要有事件的前因後果,旁人比較有機會與您一同查出想找的證據。

Reference:
https://learn.microsoft.com/zh-tw/windows/security/threat-protection/auditing/event-4625

我要發表回答

立即登入回答