none
podivný event v logu - logon type 11

    Dotaz

  • Máme ve firmě počítače v doméně a na jeden jsem se při údržbě připojil přes RDP přes lokální admin účet asi ve 21:30 a byl jsem tam až do 23:10. Později kontroluju event viewer a nacházím velmi zajímavou sadu hlášek jakoby se tam logoval někdo lokálně do domény!
    22:06:25
    Successful Logon:
         User Name:    Y85208
         Domain:        IDC01
         Logon ID:        (0x0,0x37F33B)
         Logon Type:    11
         Logon Process:    User32 
         Authentication Package:    Negotiate
         Workstation Name:    KDTYD7M
         Logon GUID:    -

    22:06:25
    Special privileges assigned to new logon:
         User Name:   
         Domain:       
         Logon ID:        (0x0,0x37F33B)
         Privileges:        SeChangeNotifyPrivilege

    22:06:25
    User Logoff:
         User Name:    Y85208
         Domain:        IDC01
         Logon ID:        (0x0,0x37F33B)
         Logon Type:    11

    a sekundu na to
    Successful Logon:
         User Name:    Y85208
         Domain:        IDC01
         Logon ID:        (0x0,0x37F35C)
         Logon Type:    2
         Logon Process:    User32 
         Authentication Package:    Negotiate
         Workstation Name:    KDTYD7M
         Logon GUID:    -

    Special privileges assigned to new logon:
         User Name:   
         Domain:       
         Logon ID:        (0x0,0x37F35C)
         Privileges:        SeChangeNotifyPrivilege

    Logon type 2 znamená interactive přímo u počítače přes klávesnici! Jenomže já byl celou dobu přihlášený přes remote desktop a pc byl tím pádem locked by administrator!

    a teď po tři čtvrtě hodině se user z toho pc odlogoval?
    22:52:42
    User Logoff:
         User Name:    Y85208
         Domain:        IDC01
         Logon ID:        (0x0,0x37F35C)
         Logon Type:    2

    Celou dobu jsem na tom pc přihlášený přes RDP, takže WTH? Nakonec jsem toho člověka sehnal a zjistil jsem, že on se na ten náš pc pokoušel přihlásit a napsalo mu to, že už je locklý adminem. Jestli ovšem tento pokus o login způsobí takovéhle eventy, tak to je teda dobrý chaos...

    25. února 2010 15:21

Odpovědi