К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Реклама
Рекомендовать в новости

Постоянная генерация событий вход\выход

Гость
0 - 05.10.2016 - 10:32
Подскажите, на сервере 2012R22 с включеным RDP постоянно генерятся события анонимного входа\выхода. меняется только номер порта.
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 05.10.2016 9:59:26
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: ServerRDP
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Уровень олицетворения: Олицетворение

Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x10D22B4C
GUID входа: {00000000-0000-0000-0000-000000000000**

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: SERVERRDP
Сетевой адрес источника: fe80::c08:6a7b:e479:6733
Порт источника: 63935

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа в систему.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.





К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены