Что делает событие Microsoft-Windows-Security-Auditing с ПУСТЫМ средним SID?
На машине Windows Server 2012, в Event Viewer, было некоторое необычное поведение в системе, сервис останавливался, и я был не уверен, если он "остановил себя" или был вынужден зайти в пользовательское действие. Таким образом, я перешел в Windows logs | Security область в eventvwr.msc и я не вижу входов в систему никаких обычных пользователей, но я действительно вижу, что шаблон повторяется следующего вида:
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Task Category: Logon
Level: Information
Keywords: Audit Success
User: N/A
Description: An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Impersonation
New Logon:
Security ID: SYSTEM
Logon GUID: {a7...}
LogonProcessName: Kerberos
Я предполагаю, что это означает, что сервис загружается в СИСТЕМНЫЙ контекст, и что ПУСТОЙ SID, на который ссылаются в конечном счете, регистрируется, только начальное состояние некоторой неаутентифицируемой Системы или Ядра или Служебного кода. Моя интерпретация корректна или является этим что-то еще?
С имени процесса входа в систему я предполагаю, что это - услуги Microsoft Kerberos.
Локальные учетные записи SYSTEM находятся вне подсистемы безопасности.
https://msdn.microsoft.com/en-us/library/windows/desktop/ ms684190 (v = vs.85) .aspx
В локальном контексте учетная запись SYSTEM - это хорошо известный SID. https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems
Но если мы видим событие на контроллере домена , что-то получает доступ по сети. Учетная запись LocalSystem получает доступ к сетевым ресурсам в контексте учетной записи компьютера, поэтому вы должны видеть SID для учетной записи компьютера в AD, а не NULL. Так что я все еще не уверен в объяснении, что это учетная запись SYSTEM. Означает ли это, что для домена включен анонимный вход?