【问题模板】云服务器无法通过Remote Desktop连接
[ 问题现象 ]
我的云服务器之前一直正常使用,昨天开始突然无法通过Remote Desktop连接。
[ 费用情况 ]
最近无欠费。近期无云产品到期。
[ 合规情况 ]
备案正常。近期无攻击事件。
[ 问题相关实例名/IP/域名 ]
120.79.86.250
[ 自主检查情况 ]
我懂一点计算机。我查看Windows系统事件时发现两条日志有点异常。
我的云服务器之前一直正常使用,昨天开始突然无法通过Remote Desktop连接。
[ 费用情况 ]
最近无欠费。近期无云产品到期。
[ 合规情况 ]
备案正常。近期无攻击事件。
[ 问题相关实例名/IP/域名 ]
120.79.86.250
[ 自主检查情况 ]
我懂一点计算机。我查看Windows系统事件时发现两条日志有点异常。
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2018/8/28 22:46:42
事件 ID: 4624
任务类别: 登录
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: *
描述:
已成功登录帐户。
使用者:
安全 ID: SYSTEM
帐户名: *$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录类型: 10
模拟级别: 模拟
新登录:
安全 ID: *\Administrator
帐户名: Administrator
帐户域: *
登录 ID: 0x1B4B6016
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0xe38
进程名: C:\Windows\System32\winlogon.exe
网络信息:
工作站名: *
源网络地址: 240e:f8:a500:1500:*:*:*:*
源端口: 0
详细身份验证信息:
登录进程: User32
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>1</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-08-28T14:46:42.311045800Z" />
<EventRecordID>6998</EventRecordID>
<Correlation />
<Execution ProcessID="472" ThreadID="2376" />
<Channel>Security</Channel>
<Computer>iZjvk03y3pbajuZ</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">*$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-21-1904583442-1439502376-3578197732-500</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">*</Data>
<Data Name="TargetLogonId">0x1b4b6016</Data>
<Data Name="LogonType">10</Data>
<Data Name="LogonProcessName">User32 </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">iZjvk03y3pbajuZ</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xe38</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">240e:f8:a500:1500:*:*:*:*</Data>
<Data Name="IpPort">0</Data>
<Data Name="ImpersonationLevel">%%1833</Data>
</EventData>
</Event> 日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2018/8/28 22:46:42
事件 ID: 4648
任务类别: 登录
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: *
描述:
试图使用显式凭据登录。
使用者:
安全 ID: SYSTEM
帐户名: *$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录 GUID: {00000000-0000-0000-0000-000000000000}
使用了哪个帐户的凭据:
帐户名: Administrator
帐户域: *
登录 GUID: {00000000-0000-0000-0000-000000000000}
目标服务器:
目标服务器名: localhost
附加信息: localhost
进程信息:
进程 ID: 0xe38
进程名: C:\Windows\System32\winlogon.exe
网络信息:
网络地址: 240e:f8:a500:1500:*:*:*:*
端口: 0
在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4648</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-08-28T14:46:42.311045800Z" />
<EventRecordID>6997</EventRecordID>
<Correlation />
<Execution ProcessID="472" ThreadID="2376" />
<Channel>Security</Channel>
<Computer>*</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">*$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">*</Data>
<Data Name="TargetLogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetServerName">localhost</Data>
<Data Name="TargetInfo">localhost</Data>
<Data Name="ProcessId">0xe38</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">240e:f8:a500:1500:*:*:*:*</Data>
<Data Name="IpPort">0</Data>
</EventData>
</Event>
[ 截图 ]
来源: Microsoft-Windows-Security-Auditing
日期: 2018/8/28 22:46:42
事件 ID: 4624
任务类别: 登录
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: *
描述:
已成功登录帐户。
使用者:
安全 ID: SYSTEM
帐户名: *$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录类型: 10
模拟级别: 模拟
新登录:
安全 ID: *\Administrator
帐户名: Administrator
帐户域: *
登录 ID: 0x1B4B6016
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0xe38
进程名: C:\Windows\System32\winlogon.exe
网络信息:
工作站名: *
源网络地址: 240e:f8:a500:1500:*:*:*:*
源端口: 0
详细身份验证信息:
登录进程: User32
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>1</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-08-28T14:46:42.311045800Z" />
<EventRecordID>6998</EventRecordID>
<Correlation />
<Execution ProcessID="472" ThreadID="2376" />
<Channel>Security</Channel>
<Computer>iZjvk03y3pbajuZ</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">*$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-21-1904583442-1439502376-3578197732-500</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">*</Data>
<Data Name="TargetLogonId">0x1b4b6016</Data>
<Data Name="LogonType">10</Data>
<Data Name="LogonProcessName">User32 </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">iZjvk03y3pbajuZ</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xe38</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">240e:f8:a500:1500:*:*:*:*</Data>
<Data Name="IpPort">0</Data>
<Data Name="ImpersonationLevel">%%1833</Data>
</EventData>
</Event> 日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2018/8/28 22:46:42
事件 ID: 4648
任务类别: 登录
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: *
描述:
试图使用显式凭据登录。
使用者:
安全 ID: SYSTEM
帐户名: *$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录 GUID: {00000000-0000-0000-0000-000000000000}
使用了哪个帐户的凭据:
帐户名: Administrator
帐户域: *
登录 GUID: {00000000-0000-0000-0000-000000000000}
目标服务器:
目标服务器名: localhost
附加信息: localhost
进程信息:
进程 ID: 0xe38
进程名: C:\Windows\System32\winlogon.exe
网络信息:
网络地址: 240e:f8:a500:1500:*:*:*:*
端口: 0
在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4648</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-08-28T14:46:42.311045800Z" />
<EventRecordID>6997</EventRecordID>
<Correlation />
<Execution ProcessID="472" ThreadID="2376" />
<Channel>Security</Channel>
<Computer>*</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">*$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">*</Data>
<Data Name="TargetLogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetServerName">localhost</Data>
<Data Name="TargetInfo">localhost</Data>
<Data Name="ProcessId">0xe38</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">240e:f8:a500:1500:*:*:*:*</Data>
<Data Name="IpPort">0</Data>
</EventData>
</Event>
[ 截图 ]
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
