“帐户锁定”午夜安全事件

Question

在过去的三个午夜，我在log...about我自己的帐户中得到了一个事件ID 539：

Event Type: Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:   539
Date:       2010-04-26
Time:       12:00:20 AM
User:       NT AUTHORITY\SYSTEM
Computer:   SERVERNAME
Description:
Logon Failure:
    Reason:     Account locked out
    User Name:  MyUser
    Domain: MYDOMAIN
    Logon Type: 3
    Logon Process:  NtLmSsp 
    Authentication Package: NTLM
    Workstation Name:   SERVERNAME
    Caller User Name:   -
    Caller Domain:  -
    Caller Logon ID:    -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: -
    Source Port:    -

离午夜只有半分钟的时间。在此之前没有登录尝试。就在它之后(在同一秒钟内)，有一个成功审计条目：

Logon attempt using explicit credentials:
 Logged on user:
    User Name:  SERVERNAME$
    Domain:     MYDOMAIN
    Logon ID:       (0x0,0x3E7)
    Logon GUID: -
 User whose credentials were used:
    Target User Name:   MyUser
    Target Domain:  MYDOMAIN
    Target Logon GUID: -

 Target Server Name:    servername.mydomain.lan
 Target Server Info:    servername.mydomain.lan
 Caller Process ID: 2724
 Source Network Address:    -
 Source Port:   -

它们的进程ID都是相同的，所以我查找了它，至少现在它映射到TCP/IP服务(Microsoft)。

我不相信我在周五改变了任何政策或任何东西。我该怎么解释呢？

Answer 1

您是否有一个在您的帐户下运行的调度任务，该任务在午夜连接到一个共享？当用户(在本例中是系统)使用runas作为另一个帐户运行进程时，通常会生成事件ID 552 (第二个事件)。

但是--仔细看看，登录ID：(0x0,0x3E7)- -表明服务是执行模拟的服务。仔细看看机器上的服务。如果另一台机器正在将驱动器映射为您的凭据，并且保存的凭据已过期，您也可以获得此文件。既然服务是tcpip，那就是我现在赌五分钱的地方。

Answer 2

这可能是一个自动事件，就像运行在凭据下的服务一样。跳到服务器上，按Logon As字段对services.msc进行排序，看看您是否在其中。

Answer 3

您可能已经安装了一个带有用户ID的程序或服务，很可能是备份软件或任何类似的服务/任务。您无法从“计划任务”中找到所有计划好的任务，请检查自动服务、IIS、备份Exec等。