我在 VMware 中运行 Win2012 服务器,我已经安装了 IIS、NAP、VPN、DHCP、DNS、WDS、AD DS、AD CS。我的域中有 win7 客户端,但它们没有打开。
问题是,我收到了大量 ID 为 4634、4624 和 4672 的事件。我几乎每 2 秒收到 1 个事件。它们都来自我的 Win2012 服务器。
登录事件示例:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Delegation
New Logon:
Security ID: SYSTEM
Account Name: DC-SERVER$
Account Domain: SKOLE
Logon ID: 0x20BE923
Logon GUID: GUID
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: fe80::e130:38a0:ae35:35bd
Source Port: 58047
Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
模拟在委派和模拟之间发生变化。源端口也一直在变化。
如您所见,这些事件在同一秒内发生了多次。我完全不知道是什么原因造成的。我已经用谷歌搜索并搜索了论坛的答案,但我找不到任何有帮助的东西。
对于任何告诉我关闭审计的人——不,我不会,我想找到问题或得到一个好的解释。
更新:
显然我已经有这个问题很长一段时间了,但直到现在我才真正注意到。我有我的服务器的快照,我没有安装 NAP、VPN 和 AD CS,但我仍然收到大量事件。我确信这与AD有关。有谁可以帮忙吗?
从包含 DC 的服务器的名称来看,我假设这是一个域控制器。
另请注意,登录类型为 3,表示网络登录。
对于登录类型为 3 的 4624 和 4634 事件:
您会在域控制器上看到很多这些事件,因为它的主要业务是身份验证......
通常这些非常嘈杂,并且不常用于实际取证。无需其他应用程序即可过滤掉噪音。
对于 4672(特殊登录事件):
这来自任何需要特殊权限的东西。
以管理员权限运行计划任务,以管理员身份运行的应用程序勾选,或仅使用管理员帐户登录,...
您可以查看这些并查看使用特权运行的内容以及是否应该运行。