none
W7 registro eventi ripetuti accessi e disconnessioni account

    Domanda

  • Salve,

    ho notato moltissimi eventi giornalieri  di questo tipo e vorrei conoscere esattamente di cosa si tratta.

    Grazie anticipatamente

    Cordiali saluti  

    Nome registro: Security
    Origine:       Microsoft-Windows-Security-Auditing
    Data:          10/07/2013 00:00:00
    ID evento:     4624
    Categoria attività:Accesso
    Livello:       Informazioni
    Parole chiave: Controllo riuscito
    Utente:        N/D
    Computer:      Pc-direzione
    Descrizione:
    Accesso di un account riuscito.

    Soggetto:
     ID sicurezza:  SYSTEM
     Nome account:  PC-DIREZIONE$
     Dominio account:  KRONOS
     ID accesso:  0x3e7

    Tipo di accesso:   5

    Nuovo accesso:
     ID sicurezza:  SYSTEM
     Nome account:  SYSTEM
     Dominio account:  NT AUTHORITY
     ID accesso:  0x3e7
     GUID accesso:  {00000000-0000-0000-0000-000000000000}

    Informazioni sul processo:
     ID processo:  0x1ec
     Nome processo:  C:\Windows\System32\services.exe

    Informazioni di rete:
     Nome workstation: 
     Indirizzo rete di origine: -
     Porta di origine:  -

    Informazioni di autenticazione dettagliate:
     Processo di accesso:  Advapi 
     Pacchetto di autenticazione: Negotiate
     Servizi transitati: -
     Nome pacchetto (solo NTLM): -
     Lunghezza chiave:  0

    mercoledì 10 luglio 2013 09:26

Risposte

Tutte le risposte

  • Sono eventi di sistema legati ai servizi

    http://support.microsoft.com/kb/977519


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio anche QUI e QUI


    mercoledì 10 luglio 2013 23:29
  • Grazie Gastone, ma sono servizi che sono stati corrotti da qualcosa oppure è normale attività ? Ho notato anche che il firewall è arrestato e non si riavvia. Nel log eventi ho trovato anche degli accessi anonimi ... insomma non riesco a capire. Ti ringrazio ancora per la tua disponibilità

    giovedì 11 luglio 2013 06:32
  • Le numerose richieste di accesso (anche anonime), come ha detto anche Gastone, solitamente sono normali e sono dovute all'autenticazione locale dei servizi di sistema.

    Tuttavia il firewall che non si avvia potrebbe essere anche un sintomo di problemi dovuti a malware, hai altri programmi di internet security installati?

    giovedì 11 luglio 2013 10:38
  • Grazie Fabrizio,

    ma queste richieste di accesso, possono essere centinaia al giorno? Per quanto riguarda internet security / antivirus solo avira

    Grazie per la tua risposta

    giovedì 11 luglio 2013 10:49
  • Si, anche centinaia dipende dalle attività eseguita dal computer e dalle applicazioni installate. L'informazione importante che identifica un accesso è il codice "Tipo di accesso" riportato nell'evento stesso. Gli eventi con codice 5 sono relativi ai servizi, quindi ogni volta che un servizio viene avviato viene registrato un evento di questo tipo e rappresenta la normalità (perché comunemente i servizi vengono avviati/arrestati più volte in una sessione). Solo se si registrano molti eventi di accesso di determinate tipologie (ad esempio con codice 10) o molti eventi di accesso falliti allora si potrebbero considerare come sintomo di un problema.
    In ogni caso il firewall che non si avvia comunemente non è normale, quindi ti consiglio di eseguire comunque una scansione antivirus completa e l'esecuzione di questo hotfix:

    http://support.microsoft.com/mats/windows_firewall_diagnostic/it


    giovedì 11 luglio 2013 11:14
  • Ciao,

    Evidenzio i consigli sopra in attesa di ulteriori feedback.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    giovedì 18 luglio 2013 17:13
    Proprietario
  • grazie ancora a tutti per la disponibilità. Scansione antivirus eseguita, effettuata anche scansione con Malwarebytes senza alcun risultato entrambe. Effettuato hotfix ma che non ha risolto il problema. Posso solo segnalare che prima dell'hotfix andando ad avviare il firewall questo segnalava un errore che ora non ricordo mente ora, dopo l'hotfix, il firewall fa finta di avviarsi non segnalando alcun errore ... ma non si avvia comunque. Grazie ancora


    Kronos

    venerdì 19 luglio 2013 07:27
  • A questo punto consiglio di provare ad eseguire una scansione con sfc /scannow in modo da ripristinare eventuali file di sistema danneggiati.
    venerdì 19 luglio 2013 10:55