none
關於Windows Server 2016 出現安全性訊息,事件ID為4697 RRS feed

  • 問題

  • 各位先進:

    目前監控軟體有發現到每當帳號登入DC主機時

    就會跳出好幾項警告

    我到事件檢視器查看才發現會觸發警告的就是這些訊息

    ------------------------------------------

    服務已經安裝在系統中。

    主旨:
    安全性識別碼: SYSTEM
    帳戶名稱: DCHOST$
    帳戶網域: RD
    登入識別碼: 0x3E7

    服務資訊:
    服務名稱:  CDPUserSvc_19c323a9
    服務檔案名稱: C:\Windows\system32\svchost.exe -k UnistackSvcGroup
    服務類型:  0xE0
    服務啟動類型: 2
    服務帳戶:  LocalSystem

    ------------------------------------------

    其中服務名稱CDPUserSvc_19c323a9是其中1項警告

    另外還有其他服務OneSyncSvc_19c323a9、PimIndexMaintenanceSvc_19c323a9、UnistoreSvc_19c323a9、UserDataSvc_19c323a9、WpnUserService_19c323a9

    所以一次就會跳出這6項警告

    不過好像不是每臺Windows Server 2016都會跳出這錯誤

    有嘗試過「關閉該服務」、「註冊碼從2改成4」都沒有用

    想請教要更改系統什麼設定才能避免跳出此訊息呢?

    2020年2月13日 下午 12:05

所有回覆

  • 花了7700新臺幣得到的答案(真香)

    Q:

    為什麼在事件檢視器-安全性會出現這個訊息?

    A:

    因為群組原則裡開啟了「稽核系統事件-成功」這一項目

    Q:

    關於“為什麼每次登陸時就會重新創建,然後再退出時會停止並刪除?”

    A:
    這些服務都是屬於Pre-User服務的,但是所有Pre-User服務均包含帶有服務名稱後綴的十六進制值。

    就比如在我們的機器中登陸時,服務名稱為:”CDPUserSvc _2d03c39”,當用戶註銷時,它將刪除服務,並在下一次登陸時創建具有唯一十六進制的相同服務,即“ CDPUserSvc_19c323a9” 。

    上面提到的“2d03c39”和“19c323a9”就是用戶的LUID。每一個可以登錄這台服務器的用戶都在該服務器的本地擁有一個特定的LUID(本地唯一標識符)以作區分。即使現在再這台服務器上用戶“A”是被系統定義的唯一用戶,A也會有一個LUID, 該LUID會將A與系統上的任何其他用戶或將來可能創建的其他用戶以及網絡上的任何其他用戶區分開。

    因為每個用戶都有自己的LUID,所以再用戶登陸時才需要生成自己的服務,退出時停止刪除這個服務,以避免影響下一個用戶的服務生成。

    有關這個問題我們可以參考:

    1. Per-user services in Windows 10 and Windows Server

    https://docs.microsoft.com/en-us/windows/application-management/per-user-services-in-windows#view-per-user-services-in-the-services-console-servicesmsc

    2. 4697(S): A service was installed in the system.

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4697#security-monitoring-recommendations


    • 已編輯 swordkiss 2020年6月5日 上午 11:16 add link
    2020年6月5日 上午 11:15