none
Security logon type -- network的触发机制

    问题

  • 远程RDP登录一台服务器A时,会同时在服务器B上产生一条登录记录,安全日志中显示logon type是3(network),network information 中的workstation 显示的是服务器A,logon process是NtLmSsp,请问什么情况下会触发type 3这种登录方式呢?

    网上查了说通常使用打印机和共享文件以及IIS的情况下会触发这种登录方式,但是我们的在服务器A上的操作也没有涉及到这些啊。

    有没有大神知道为什么会在服务器B上也产生登录记录呢?

    以下是服务器B上的日志信息:

    ------------------------------------------------------

    12/16/2016 11:29:50 AM SecurityLogon 4624 d****(#用户名)  ****.jp.sony.com(服务器B)

    An account was successfully logged on. 

    Subject:  Security ID:  S-1-0-0 

    Account Name:  - 

    Account Domain:  - 

    Logon ID:  0x0 

    Logon Type:   3

    New Logon: 

    Security ID:  S-1-5-21-1672244460-3011055832-2174009778-1133 

    Account Name:  d****(#用户名) 

    Account Domain:  服务器B 

    Logon ID:  0x1a10b22e 

    Logon GUID:  {00000000-0000-0000-0000-000000000000} 

    Process Information: 

    Process ID:  0x0 

    Process Name:  - 

    Network Information:

    Workstation Name: 服务器A Source Network Address: -  Source Port:  - 

    Detailed Authentication Information: 

    Logon Process:  NtLmSsp  

    Authentication Package: NTLM

    Transited Services: - 

    Package Name (NTLM only): NTLM V2

    Key Length:  128 

    This event is generated when a logon session is created. It is generated on the computer that was accessed.  The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.  The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).  The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.  The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.  The authentication information fields provide detailed information about this specific logon request.  - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.  - Transited services indicate which intermediate services have participated in this logon request.  - Package name indicates which sub-protocol was used among the NTLM protocols.  - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.

    -------------------------------------------------------------------------------

     

    2016年12月21日 11:39

全部回复

  • 您好 Perry,

    1.Type3是当有用户从网路上去访问这台计算机时会产生的事件日志,比如文件共享等等。

    2.请问您是否是在服务器B上用该用户去访问服务器A?

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月22日 6:44
  • 您好,没有的,就是登录服务器A的同时间点也在服务器B上产生了记录,我们没有从服务器A访问服务器B,而且如果是登上服务器A后再去访问服务器B的话,也应该存在时间差的啊。我们的这个现象是同时间产生的。

    有没有什么其它可能性会导致这种情况啊,在线等~

    2016年12月22日 8:59
  • 您好 Perry,

    我的意思是您是否在服务器B上使用该账号去RDP链接到服务器A?

    如果是的话,这个现象是正常的。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月22日 9:03
  • 没有的,只登了服务器A,但是在服务器B上也出现了登录记录。
    2016年12月22日 9:19
  • hi John, 请问您还在吗?

    您是说我们之前有使用过那个帐号从服务器B去访问服务器A吗?

    是不是以前通过网络共享文件夹的方式从服务器B访问过服务器A的话,之后再登录服务器B时,就会自动连接到服务器A呢?

    2016年12月22日 9:34
  • 你好 Perry,

    是的,如果服务器B作为一个RDP客户端去访问服务器A的话或者是相反的情况都会出现类似的日志文件。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月22日 9:49
  • 那我怎样可以避免这种现象呢?是不是通过net use \\remote-machine-name\C$ /delete命令删除当时访问过的网络共享就可以解决?
    2016年12月22日 9:59
  • 做了一下测试,在服务器A上访问服务器B的当时确实会产生这样的记录,但是奇怪的是在logoff之后下次再登录服务器A(不访问服务器B),还是产生了这样的记录,而且我们发现并不是每次登录服务器A时服务器B上都会产生记录,这是为什么呢?

    2016年12月22日 12:12
  • 您好 Perry,

    1.这种日志是正常的日志,也没必要去关闭它,它只是一个提供给你的信息记录了谁登陆了这台服务器。并且你可以根据这种日志得出更多的一些信息。

    2.大概是什么时候或者什么情况不会产生日志呢?

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月23日 2:24
  • 发生这种现象的是要受审查的重要机器,所以我们需要知道这种不明登录的原因并解决它。

    我们也不清楚什么时候或什么情况下不会产生日志,所以想请教大家。

    只是根据我们监控到的登录日志来看,并不是每次登录服务器A时都会在服务器B上产生记录。

    2016年12月23日 9:30
  • 您好 Perry,

    正常来说,如果您进行远程桌面连接的话它一定会产生日志的,不会出现时有时无的情况。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月26日 5:07
  • Hi John

    我想您没有理解我的意思,我来重新总结下

    1. 我们的问题是在RDP服务器A时,服务器B上也在同一时间产生了一条登录记录,而实际上我们并没有RDP服务器B,也没有在服务器A上RDP服务器B。

    2. 并不是每次RDP服务器A时服务器B上都会产生登录记录

    我们想知道服务器B上的登录记录是怎么产生的以便采取对策防止再次发生

    2016年12月29日 1:57
  • 您好 Perry,

    如果您的操作系统是windows 2008 R2的话请参考一下的官方解决方案:

    安全事件 ID 4624 Windows 7 和 Windows Server 2008 R2 中的无效的客户端 IP 地址

    https://support.microsoft.com/zh-cn/kb/3097467

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月29日 2:24