ID do Evento de Logon # 4648: “Foi tentado um logon”

Navegue suas respostas
0

Boa tarde,

Eu gostaria de receber conselhos sobre uma questão específica que estamos vendo nos nossos registros. Ele mostra "Caller Host Machine" (que é um PC no chão) e é onde estamos vendo se originar.

Existe uma conta do Windows que não existe mais no Active Directory (usuário saiu da empresa). No entanto, ainda estamos vendo solicitações para autenticação em um dos nossos servidores. 

Event details from the PC (Windows 7 Professional) out on the floor:

    A logon was attempted using explicit credentials.

    Subject:
        Security ID:        NULL SID
        Account Name:       -
        Account Domain:     -
        Logon ID:       0xd1a3
        Logon GUID:     {00000000-0000-0000-0000-000000000000}

    Account Whose Credentials Were Used:
        Account Name:       [username]
        Account Domain:     [domain]
        Logon GUID:     {00000000-0000-0000-0000-000000000000}

    Target Server:
        Target Server Name: [our server]
        Additional Information: [our server]

    Process Information:
        Process ID:     0x4
        Process Name:       

    Network Information:
        Network Address:    -
        Port:           -

    This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials.  This most commonly occurs in batch-type configurations such as scheduled tasks, or when using the RUNAS command.

O que eu já tentei:

  1. Atualmente, há um novo usuário ativo que usa o computador diariamente. Eu verifiquei Credential Manager de sua própria conta para ver se havia alguma credencial salva / armazenada em cache e não encontrou nada. Não viu nenhum atalho que possa estar vinculando a conta antiga. O PC foi reinicializado, o antivírus foi recarregado também, mas os registros ainda continuam mostrando a conta antiga.

  2. Eu também fiz login como a conta de administrador local. Não viu nenhuma credencial armazenada em cache lá. Eu verifiquei o Credential Manager novamente, usei os comandos "net use * / delete" e "cmdkey / list" também.

Eu já estou ficando sem ideias claramente agora. Há mais alguma coisa que eu possa verificar no PC neste momento?

Meu último recurso é simplesmente recriar a imagem do PC, mas ainda me deixa um monte de "e se".

Obrigado!

    
por LiQuiD_FuSioN 16.11.2015 / 22:01

0 respostas

Tags

Por que algumas codificações (e outros processos intensos) são executados mais rapidamente (usando o Windows 10) quando o processador está ocupado? Por que minha crença no PowerShell é um terminal Cygwin?