請教大家
在win10 電腦遇到下列的事件紀錄
主旨:
安全性識別碼: SYSTEM
帳戶名稱: DESKTOPLUK03$ (電腦名稱$)
帳戶網域: DEMO
登入識別碼: 0x3e7
登入類型: 2
登入失敗的帳戶:
安全性識別碼: NULL SID
帳戶名稱: Anderson Hsu
帳戶網域: DEMO
失敗資訊:
失敗原因: 不明的使用者名稱或錯誤密碼
狀態: 0xc000006d
子狀態:0xc000006a
處理程序資訊:
呼叫者處理程序識別碼: 0x904
呼叫者處理程序名稱: c:\windows\system32\svchost.exe
這看起來不像 user自己的操作動作產生, 但在電腦上並沒有看到任何記憶密碼的情況, 是否有其他排除建議方式, 謝謝
已邀請的邦友 {{ invite_list.length }}/5
基本上可以從從上面兩個條件來推測這 Event Log 代表的是一個 User 在嘗試登入本機時輸入了錯誤的帳戶名稱或密碼,並被拒絕登入。通常想要理解一個 Event Log 可以先去查官方文檔,然後再各大論壇或部落格有沒有人有相關的說明。
如果要有其他排除建議,最好要有事件的前因後果,旁人比較有機會與您一同查出想找的證據。
Reference:
https://learn.microsoft.com/zh-tw/windows/security/threat-protection/auditing/event-4625
iThome鐵人賽
看影片追技術