Windows Güvenlik Günlüğü- 4797 Hakkında
-
Lisanlı windows 8.1 kullanıyorum. Windows olay görüntüleyicisinde güvenlik olaylarında şöyle bir olay var. Bu olaydan onlarca defa yazılmış sürekli. Hatta aynı saniyede bile defalarca bu log tutulmuş.
"Hesapta boş parola olup olmadığı sorgulanmaya çalışıldı."
olay kimliği 4797 olarak geçiyor. Bu konu hakkında bilgisi olan varmı?
Bilgisayara aynı ağ üzerinden erişimin sağlanmaya çalışıldığını ve başarılamadığını düşünebilirmiyiz?
-
sanırım konuyla ilgili microsoft yetkililerinin de somut bir acıklaması yok.
söyle bir fikrim var, olay günlügünde bu event'ın baslangıc tarihi gözüküyorsa, aynı tarihte veya 1-2 gün öncesinde yüklemis oldugun uygulamaları kontrol et.
regedit kayıtlarına etki eden bir uygulama veya windows'un kendi servislerinden birisinin isi olabilir.
rootkit, malware taraması yapıp onların sonularına bakmakta da fayda var, onlara pek ihtimal vermesem de.
aynı ag üzerinde olsan bile, aynı saniyede defalarca o log'un tutulmus olması, dısarıdan gelebilecek bir saldırı ihtimalini de ortadan kaldırıyor bence.
-
şimdi inceledm tekrar.Sistemi formatlayıp, daha sonra aynı gün 8.1 e yükseltmiştim. O gün bile gerçekleşmiş bu 4797. O gün ki olayın detaylarına baktığımda evdeki diğer bilgisayarın adı falan yazıyor,muhtemelen diğer bilgisayardan bu bilgisayara dosya aktarımı falan için denemeler yaptığımda oluşmuştur. Paylaşım ayarları kapalı olduğu için normaldir,onlardan bilgim var. Ancak işyerinde ağa bağlandığımda bu 4797 geçekleştiğini tespit ettim.
Herhangi bir bilgisayar ismi yazmıyor,local service yazıyor kimlik bilgilerinde. Çözemediğim bir durum var ortada.
Ayrıca şöyle de bir detay var, işyerinde herkes aynı domaine bağlı, kullanıcı bilgileri ile o portu kullanabiliyor,belirli filtrelere falan maruz kalıyorlar. Benim kendime ayarladığım ayrı bir port var,sınırsız,sorunsuz kullanıyorum. Bununa ilgili olabilir mi acaba?
şu an 8.1 kullanıpta olay günlüklerinde bu 4797 olayına denk gelen varmı aranızda?