none
域控服务器记录大量的Event ID 4768 和 4656 安全审核失败记录 RRS feed

  • 问题

  • 公司是域的架构,服务器版本是win 2019 标准版,今天在对域控服务器进行日志审核时,发现大量的Event ID 4768 和 4656 审核失败记录,如下图,请帮忙分析下,是不是域控服务器遭遇了入侵?


    2020年5月14日 5:18

全部回复

  • 你好,
    根据我的调查,EVENT 4656 :
    此事件表明请求对对象进行特定访问。该对象可以是文件系统,内核或注册表对象,也可以是可移动存储设备上的文件系统对象。
    如果访问被拒绝,则会生成失败事件。
    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656

    EVENT4768 :如果TGT问题失败,那么您将看到失败事件,结果代码字段不等于“ 0x0 ”。Result code 表名用户名不存在。

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4768

    Fan




    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年5月15日 5:23
  • 您好,

    请问您的问题是否有任何进展?

    如有需要协助的地方,欢迎随时发帖询问!

    Fan

     


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年5月18日 7:02
  • 你好,

     

    你的问题解决了吗?

     

    如果您使用我们的解决方案解决了它,请“标记为答复”以帮助其他社区成员快速找到有用的回复。

    如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。对于有类似问题的其他社区成员来说,这将非常有益。

    如果不是,请回复并告诉我们当前的情况,以便提供进一步的帮助。

     Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年5月20日 7:44