我这个开机过程正常吗？为什么会有审核失败呢？

显示全部楼层 · 发表于 2015-7-29 20:13:53

本帖最后由 kafenxi 于 2015-7-29 20:29 编辑

开机过程如图：
按从下往上的开机顺序复制详细的文档：

事件类型:       成功审核
事件来源:       Security
事件种类:       系统事件
事件 ID:       514
日期:             2015-7-29
事件:             15:30:22
用户:             NT AUTHORITY\SYSTEM
计算机:       PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:       C:\WINDOWS\system32\LSASRV.dll : Negotiate

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 514
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:    C:\WINDOWS\system32\kerberos.dll : Kerberos

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 514
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:    C:\WINDOWS\system32\msv1_0.dll : NTLM

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 514
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:    C:\WINDOWS\system32\schannel.dll : Microsoft Unified Security Protocol Provider

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 514
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:    C:\WINDOWS\system32\schannel.dll : Schannel

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 514
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:    C:\WINDOWS\system32\wdigest.dll : WDigest

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 514
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
本地安全机制机构已加载身份验证程序包。这个身份验证数据包将用来验证登录操作。
身份验证程序包名:    C:\WINDOWS\system32\msv1_0.dll : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申请。
登录过程名:    Winlogon

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申请。
登录过程名:    KSecDD

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申请。
登录过程名:    Winlogon\MSGina

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申请。
登录过程名:    KSecDD

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 518
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
安全帐户管理器已被加载到通知程序包。任何帐户或密码更改信息会通知这个通知程序包。
通知程序包名:    scecli

事件类型: 成功审核
事件来源: Security
事件种类: 系统事件
事件 ID: 515
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
受信任的登录过程已经在本地安全机制机构注册。将信任这个登录过程来提交登录申请。
登录过程名:    DCOMSCM

事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\NETWORK SERVICE
计算机: PC-2015
描述:
登录成功:
   用户名:    NETWORK SERVICE
   域:       NT AUTHORITY
   登录 ID:       (0x0,0x3E4)
   登录类型:    5
   登录过程:    Advapi
   身份验证程序包:    Negotiate
   工作站名:
   登录 GUID: -

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:       2015-7-29
事件:       15:30:22
用户:       NT AUTHORITY\NETWORK SERVICE
计算机: PC-2015
描述:
指派给新登录的特殊权限:
   用户名:
   域:
   登录 ID:       (0x0,0x3E4)
   特权:       SeAuditPrivilege
         SeAssignPrimaryTokenPrivilege
         SeChangeNotifyPrivilege

事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:       2015-7-29
事件:       15:30:24
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  lianl          -----注：这是我的用户名
源工作站: PC-2015
错误代码: 0xC000006A

事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:       2015-7-29
事件:       15:30:24
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
登录失败:
   原因:       用户名未知或密码错误
   用户名:    lianl             ----注：我的用户名
   域:       PC-2015
   登录类型:    2
   登录过程:    Advapi
   身份验证程序包:    Negotiate
   工作站名:    PC-2015

事件类型: 成功审核
事件来源: Security
事件种类: 策略改动
事件 ID: 806
日期:       2015-7-29
事件:       15:30:25
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
刷新了每用户审核策略。
   元素数量: 0
   策略 ID: (0x0,0x146EE)

事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:       2015-7-29
事件:       15:30:25
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  lianl                      ----- 注：我的用户名
源工作站: PC-201
错误代码: 0xC000006A

事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:       2015-7-29
事件:       15:30:25
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
登录失败:
   原因:       用户名未知或密码错误
   用户名:    lianl ----- 注：我的用户名
   域:       PC-2015
   登录类型:    2
   登录过程:    Advapi
   身份验证程序包:    Negotiate
   工作站名:    PC-2015

事件类型: 成功审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:       2015-7-29
事件:       15:30:32
用户:       NT AUTHORITY\SYSTEM
计算机: PC-2015
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  lianl       ----注：我的用户名
源工作站: PC-2015
错误代码: 0x0

事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期:       2015-7-29
事件:       15:30:32
用户:       PC-2015\lianl                注：我的用户名
计算机: PC-2015
描述:
登录成功:
   用户名:    lianl
   域:       PC-201506231954
   登录 ID:       (0x0,0x1740A)
   登录类型:    2
   登录过程:    User32
   身份验证程序包:    Negotiate
   工作站名: PC-2015
   登录 GUID: -

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:       2015-7-29
事件:       15:30:32
用户:       PC-2015\lianl
计算机: PC-2015
描述:
指派给新登录的特殊权限:
   用户名:
   域:
   登录 ID:       (0x0,0x1740A)
   特权:       SeChangeNotifyPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege

事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期:       2015-7-29
事件:       15:31:29
用户:       NT AUTHORITY\NETWORK SERVICE
计算机: PC-2015
描述:
登录成功:
   用户名:    NETWORK SERVICE
   域:       NT AUTHORITY
   登录 ID:       (0x0,0x3E4)
   登录类型:    5
   登录过程:    Advapi
   身份验证程序包:    Negotiate
   工作站名:
   登录 GUID: -

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:       2015-7-29
事件:       15:31:29
用户:       NT AUTHORITY\NETWORK SERVICE
计算机: PC-2015
描述:
指派给新登录的特殊权限:
   用户名: NETWORK SERVICE
   域:       NT AUTHORITY
   登录 ID:       (0x0,0x3E4)
   特权:       SeAuditPrivilege
         SeAssignPrimaryTokenPrivilege
         SeChangeNotifyPrivilege

========================================================================================================
以上开机登陆完毕，

几分钟后手动打开火狐浏览器如下：

事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期:       2015-7-29
事件:       15:33:34
用户:       NT AUTHORITY\NETWORK SERVICE
计算机: PC-2015
描述:
登录成功:
   用户名:    NETWORK SERVICE
   域:       NT AUTHORITY
   登录 ID:       (0x0,0x3E4)
   登录类型:    5
   登录过程:    Advapi
   身份验证程序包:    Negotiate
   工作站名:
   登录 GUID: -

事件类型: 成功审核
事件来源: Security
事件种类: 特权使用
事件 ID: 576
日期:       2015-7-29
事件:       15:33:34
用户:       NT AUTHORITY\NETWORK SERVICE
计算机: PC-2015
描述:
指派给新登录的特殊权限:
   用户名: NETWORK SERVICE
   域:       NT AUTHORITY
   登录 ID:       (0x0,0x3E4)
   特权:       SeAuditPrivilege
         SeAssignPrimaryTokenPrivilege
         SeChangeNotifyPrivilege

==========================================================
请教下，大家的开机记录也是这样的吗？
NETWORK SERVICE帐户登陆，SYSTEM帐户登陆，自己的用户名XXXX也登陆

如果不正常，如何尽量取消这些登陆呢？

如果正常，辨别每一条登陆后面的程序到底是谁？会不会有木马

”系统”里已经该禁的都禁了。
启动里也只有几个信得过的，小红伞，毛豆，AMD补丁，输入法，LISTARY。还有个软件FENCE在启动里没有显示

[网络] 我这个开机过程正常吗？为什么会有审核失败呢？

本帖子中包含更多资源

[网络] 我这个开机过程正常吗？ 为什么会有审核失败呢？

本帖子中包含更多资源

[网络] 我这个开机过程正常吗？为什么会有审核失败呢？