自從 administrator account 的密碼三番兩次被改成空白之後,
我始開啟登入事件的稽核設定 (本機安全性設定 -> 本機原則 -> 稽核原則 -> 稽核登入事件)
以下兩區段是從 [事件檢視器 -> 安全性] 所擷取,有些不解與疑慮想請教各位,感激不禁!
以下使用者(NT AUTHORITY\SYSTEM)是什麼?
為何會使用我的 user account(如下:JACK) 來登入,還打錯密碼??
(我確信我每次登入都打對密碼)
使用者: NT AUTHORITY\SYSTEM
類型: 稽核失敗
事件ID: 529
電腦: ICS(我的電腦名稱)
描述:
登入失敗
原因: 使用者名稱不明或密碼錯誤
使用者名稱: JACK(我的帳號)
登入類型: 2 -> A user logged on to this computer at the console ...此一 Logon type 是何意義?
登入處理: Advapi
工作站名稱: ICS(我的電腦名稱)
關於事件ID: 529 下列敘述感覺亂恐怖的!!(是我多慮了嗎?)
Explanation
This event record indicates an attempt to log on using an unknown user account or a valid user account but
with an incorrect password. An unexpected increase in the number of these audits could represent an attempt
by someone to find user accounts and passwords (such as a "dictionary" attack, in which a list of words is
used by a program to attempt entry).
User Action
The person with administrative rights for the computer should establish a threshold limit for attempted log ons.
Attempts in excess of the limit should be investigated as a possible attempt to break into the computer.
-------------------------------------------------------------------------------------------------------------------------------------------
以下使用者(ANONYMOUS LOGON)是什麼?
為何會從區網中的另一台電腦登入我的電腦?
使用者: NT AUTHORITY\ANONYMOUS LOGON
類型: 稽核成功
事件ID: 540
電腦: ICS(我的電腦名稱)
描述:
網路登入成功
使用者名稱:
登入類型: 3
登入處理: NtLmSsp
工作站名稱: CHATPC(區網中的另一台電腦名稱)
PS.
登入類型: 2 -> Interactive A user logged on to this computer at the console.
登入類型: 3 -> Network A user or computer logged on to this computer from the network.
書籤