На компьютере с Windows Server 2012 в средстве просмотра событий в системе наблюдалось какое-то необычное поведение, служба останавливалась, и я не был уверен, «остановилась ли она сама» или была принудительно остановлена действием пользователя. Итак, я пошел в Windows logs | Security площадь в eventvwr.msc и я не вижу входов в систему обычных пользователей, но я вижу повторяющийся образец следующего вида:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Description: An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Impersonation
New Logon:
Security ID: SYSTEM
Logon GUID: {a7...}
LogonProcessName: Kerberos
Я предполагаю, что это означает, что служба загружается в контекст СИСТЕМЫ, и что NULL SID, указанный в журнале событий, является только начальным состоянием некоторого неаутентифицированного кода системы, ядра или службы. Моя интерпретация верна или это что-то другое?
Судя по имени процесса входа в систему, я предполагаю, что это служба Microsoft Kerberos.
В локальном контексте системная учетная запись - это хорошо известный SID. https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems
Но если мы видим событие на контроллере домена, значит, что-то получает доступ по сети. Учетная запись LocalSystem получает доступ к сетевым ресурсам в контексте учетной записи компьютера, поэтому вы должны видеть SID для учетной записи компьютера в AD, а не NULL. Так что я все еще не уверен в объяснении, что это учетная запись SYSTEM. Означает ли это, что для домена включен анонимный вход?
Учетные записи локальной системы находятся вне подсистемы безопасности.
https://msdn.microsoft.com/en-us/library/windows/desktop/ms684190(v=vs.85).aspx