今日早上登入作業,在登入到joe 這個帳戶之前(我的),都是一堆NONO-AC$的帳戶登入訊息
我的電腦名稱是NONO-AC,這個NONO-AC$ 會同步跟電稱名稱一起出現?
-----------------------------------------------------------------------------------------------
NONO-AC$在登入之前的一些安全性系統延伸
本機安全性授權已經載入安全性封裝。
安全性封裝名稱: C:\Windows\system32\lsasrv.dll : Negotiate
安全性封裝名稱: C:\Windows\system32\negoexts.DLL : NegoExtender
安全性封裝名稱: C:\Windows\system32\kerberos.DLL : Kerberos
安全性封裝名稱: C:\Windows\system32\msv1_0.DLL : NTLM
安全性封裝名稱: C:\Windows\system32\schannel.DLL : Schannel
安全性封裝名稱: C:\Windows\system32\schannel.DLL : Microsoft Unified Security Protocol Provider
安全性封裝名稱: C:\Windows\system32\wdigest.DLL : WDigest
安全性封裝名稱: C:\Windows\system32\tspkg.DLL : TSSSP
安全性封裝名稱: C:\Windows\system32\pku2u.DLL : pku2u
驗證封裝名稱: C:\Windows\system32\msv1_0.DLL : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
已要求物件控制代碼。
主旨:
安全性識別碼: SYSTEM
帳戶名稱: NONO-AC$
帳戶網域: n232sa
登入識別碼: 0x3e7
物件:
物件伺服器: Security
物件類型: Key
物件名稱: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\SamSs
控制代碼識別碼: 0x4e0
處理程序資訊:
處理程序識別碼: 0x2d0
處理程序名稱: C:\Windows\System32\lsass.exe
存取要求資訊:
交易識別碼: {00000000-0000-0000-0000-000000000000}
存取: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
查詢機碼值
設定機碼值
建立子機碼
列舉子機碼
通知機碼變更
建立連結
存取原因: -
存取遮罩: 0xf003f
存取檢查所使用的權限: -
限制的 SID 數目: 0
------------------------------------
接下來出現這個 NONO-AC$登入過程蠻多事件,我貼上有比較多訊息的
已要求物件控制代碼。
主旨:
安全性識別碼: SYSTEM
帳戶名稱: NONO-AC$
帳戶網域: n232sa
登入識別碼: 0x3e7
物件:
物件伺服器: Security
物件類型: Key
物件名稱: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\SamSs
控制代碼識別碼: 0x4e0
處理程序資訊:
處理程序識別碼: 0x2d0
處理程序名稱: C:\Windows\System32\lsass.exe
存取要求資訊:
交易識別碼: {00000000-0000-0000-0000-000000000000}
存取: DELETE
READ_CONTROL
WRITE_DAC
WRITE_OWNER
查詢機碼值
設定機碼值
建立子機碼
列舉子機碼
通知機碼變更
建立連結
存取原因: -
存取遮罩: 0xf003f
存取檢查所使用的權限: -
限制的 SID 數目: 0
----------------------------------------------------------------------------------------------
帳戶成功登入。
主旨:
安全性識別碼: SYSTEM
帳戶名稱: NONO-AC$
帳戶網域: n232sa
登入識別碼: 0x3e7
登入類型: 2
新登入:
安全性識別碼: NONO-AC\joe
帳戶名稱: joe
帳戶網域: NONO-AC
登入識別碼: 0x39f8a
登入 GUID: {00000000-0000-0000-0000-000000000000}
處理程序資訊:
處理程序識別碼: 0x39c
處理程序名稱: C:\Windows\System32\winlogon.exe
網路資訊:
工作站名稱: NONO-AC
來源網路位址: 127.0.0.1
來源連接埠: 0
詳細驗證資訊:
登入處理程序: User32
驗證封裝: Negotiate
轉送的服務: -
封裝名稱 (僅限 NTLM): -
金鑰長度: 0
當建立登入工作階段的時候,就會產生這個事件。它在被存取的電腦上產生。
主旨欄位顯示要求登入的本機系統上的帳戶。這通常是發生在服務 (例如伺服器服務) 或是本機處理程序 (例如 Winlogon.exe 或 Services.exe)。
登錄類型欄位顯示發生的登入類型。最常見的類型是 2 (互動式) 與 3 (網路)。
新登入欄位顯示是哪個帳戶建立新登入,例如登入的帳戶。
網路欄位顯示遠端登入要求的來源。工作站名稱不是每次都有,並可能在某些狀況是空白。
驗證資訊欄位提供關於此次特定登入要求的詳細資訊。
- 登入 GUID 是唯一識別碼,可用於關聯這個事件與 KDC 事件。
- 轉送的服務欄位顯示哪一個中介服務已經加入這個登入要求。
- 封裝名稱欄位顯示在 NTLM 通訊協定中使用哪一個子協定。
- 金鑰長度欄位顯示產生的工作階段金鑰長度。如果沒有要求工作階段金鑰則為 0。
----------------------------------------------------------------------------------
感恩感謝
--------------
有找到相關資料
Security Accounts Manager 簡稱SAM 是跟lsass.exe進程相關,用來存儲用戶帳戶配置信息
有人說關了沒關係,也有人說不可關
HKEY_LOCAL_MACHINE\SYSTEM\controlset001\services\samss
但出現在這個位置是正確?
從 APP 打開
X