零、约定
为方便后文叙述,不妨假设:软件学院服务器的本地管理员账户是:administrator。
一、缘起
昨日软件学院网站无法访问,后来发现是权限问题,配置后恢复正常。然解决途中,偶尔看到事件查看器中,有本地管理员administrator登陆系统的记录;但是经过询问,发现知道管理员密码的维护人员都没有在该时间登陆服务器。故因而生疑。
二、情况描述
1)事件查看器中记录:
来源:Security ;时间:3:00:00 ;类别:登录/注销 ;类型:审核成功 ;事件ID:528 ;用户:administrator
描述:
登录类型: 4 ;登录进程: Advapi ;身份验证数据包: Negotiate ;源网络地址: - ;源端口:- 。
2)发现:每天3:00,都有此登录消息记录。
3)从微软官方技术帮助文章得证,事件ID528是登录Windows桌面的ID记录。(详见/hope/Education/ShowArticle.asp?ArticleID=4142)
4)无法跟踪到源网络地址(IP)。
5)服务器上每天3:00会进行ntbackup