在 Windows Server 2012 机器上,在事件查看器中,系统出现了一些异常行为,服务正在停止,我不确定它是“自行停止”还是被用户操作强制停止。所以我去了Windows logs | Security
区域,eventvwr.msc
我没有看到任何普通用户的登录,但我确实看到了以下类型的重复模式:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Description: An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Impersonation
New Logon:
Security ID: SYSTEM
Logon GUID: {a7...}
LogonProcessName: Kerberos
我假设这意味着服务正在引导进入 SYSTEM 上下文,并且事件日志中引用的 NULL SID 只是某些未经身份验证的系统或内核或服务代码的初始状态。我的解释是正确的还是别的什么?
根据登录进程名称,我假设这是 Microsoft Kerberos 服务。
在本地上下文中,SYSTEM 帐户是众所周知的 SID。https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems
但是,如果我们在域控制器上看到该事件,则表明正在通过网络进行访问。LocalSystem 帐户在计算机帐户的上下文中访问网络资源,因此您应该在 AD 中看到计算机帐户的 SID,而不是 NULL。所以我仍然不相信它是SYSTEM帐户的解释。这是否意味着为域启用了匿名登录?
本地 SYSTEM 帐户位于安全子系统之外。
https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx