Мене зламують ідентифікатор події безпеки S-1-5-7

Я знайшов це в моєму журналі подій не впевнений, чи я

джерело видається потенційно небезпечним

Диспетчер управління сервісом (SCM) запускається при завантаженні системи. Це сервер віддаленого виклику процедур (RPC), завдяки якому конфігурація служби та програми управління послугами можуть управляти послугами на віддалених машинах.

я заглянув у журнал подій безпеки і не можу знайти будь-яку кореляцію з ідентифікатором входу

            1201 - Time                     : 11/19/2012 11:02:52 PM
            1202 - Source                   : Service Control Manager
            1203 - Description              : An account was logged off.

                                              Subject:
                                                Security ID:        S-1-5-7
                                                Account Name:       ANONYMOUS LOGON
                                                Account Domain:     NT AUTHORITY
                                                Logon ID:       0x13e82ef

                                              Logon Type:           3

"Джерело" - це те, що повідомляє про подію в журналі подій, не обов'язково про причину.

S-1-5-7 - це ідентифікатор безпеки "анонімного" користувача , а не ідентифікатор події.

Виходячи з типу входу (3), він виглядає як (дозволений) анонімний доступ до мережевого ресурсу на вашому комп’ютері (як спільна папка, принтер тощо). Тож ніхто не зламає, вони просто використовують ресурс, який дозволено використовувати користувачам без входу з ім'ям користувача / паролем (AKA: Anonymous).

Знайдіть відповідну подію входу (можливо, ідентифікатор події 4624), і деталі повинні повідомити, звідки вони входять (IP-адреса).

Більше інформації про типи входу тут .