я нашел это в моем журнале событий, не уверен, если я

источник кажется потенциально опасным

Диспетчер управления службами (SCM) запускается при загрузке системы. Это сервер удаленного вызова процедур (RPC), поэтому программы настройки и управления службами могут управлять службами на удаленных машинах.

Я посмотрел в журнале событий безопасности, и я не могу найти какую-либо связь с идентификатором входа

            1201 - Time                     : 11/19/2012 11:02:52 PM
            1202 - Source                   : Service Control Manager
            1203 - Description              : An account was logged off.

                                              Subject:
                                                Security ID:        S-1-5-7
                                                Account Name:       ANONYMOUS LOGON
                                                Account Domain:     NT AUTHORITY
                                                Logon ID:       0x13e82ef

                                              Logon Type:           3
|источник

1 ответ1

3

"Источник" - это то, что сообщает о событии в журнал событий, а не обязательно причина.

S-1-5-7 - это идентификатор безопасности "анонимного" пользователя, а не идентификатор события.

Исходя из типа входа (3), он выглядит как (разрешенный) анонимный доступ к сетевому ресурсу на вашем компьютере (например, к общей папке, принтеру и т.д.). Так что никто не взламывает, они просто используют ресурс, который разрешено использовать пользователям без входа в систему с именем пользователя / паролем (AKA: Anonymous).

Найдите подходящее событие входа в систему (вероятно, идентификатор события 4624), и в его сведениях должно быть указано, откуда они входят (IP-адрес).

Больше информации о типах входа в систему здесь.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .