none
EventID 4624 關於被匿名登入NTLM RRS feed

  • 問題

  • 小弟電腦OS是win7,已經Windows update至最新

    電腦連接到Modem,拿取SO-NET配發的浮動ip,通常電腦一天都會開機8小時左右

    登入電腦帳號是用最小權限的user帳號

    最近看event Log,總會發現到幾個不尋常的稽核紀錄,同一個EventId每天都會出現個好幾次

    且都是固定幾個WorkstationName在登入,過一陣子還會伴隨一次登出

    查了一下,NTLM是早期NT時代就有的驗證機制,似乎不是一個安全的服務

    想請教前輩如何把這個功能手動關閉?thanks

    ================================================

    - System
    - Provider
    [ Name] Microsoft-Windows-Security-Auditing
    [ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}
    EventID 4624
    Version 0
    Level 0
    Task 12544
    Opcode 0
    Keywords 0x8020000000000000
    - TimeCreated
    [ SystemTime] 2012-06-12T12:45:32.671872700Z
    EventRecordID 73832
    Correlation
    - Execution
    [ ProcessID] 556
    [ ThreadID] 4476
    Channel Security
    Computer UD3
    Security
    - EventData
    SubjectUserSid S-1-0-0
    SubjectUserName -
    SubjectDomainName -
    SubjectLogonId 0x0
    TargetUserSid S-1-5-7
    TargetUserName ANONYMOUS LOGON
    TargetDomainName NT AUTHORITY
    TargetLogonId 0x2eee81
    LogonType 3
    LogonProcessName NtLmSsp
    AuthenticationPackageName NTLM
    WorkstationName STARTED-PC2
    LogonGuid {00000000-0000-0000-0000-000000000000}
    TransmittedServices -
    LmPackageName NTLM V1
    KeyLength 128
    ProcessId 0x0
    ProcessName -
    IpAddress 189.43.163.132
    IpPort 1268



    • 已編輯 Ken Hung 2012年6月20日 上午 05:34
    2012年6月20日 上午 05:32