Condividi tramite

Dubbio visualizzatore eventi

Anonimo
2018-04-29T15:45:50+00:00

Buongiorno, poco fa controllando il visualizzatore eventi ho notato una cosa che non so se considerare normale. Allora andando su visualizzatore eventi - >Registri Windows - > Sicurezza e controllando gli eventi, ho notato che per i primi eventi il nome del Computer era WIN-serie di caratteri e numeri, ma controllando gli eventi che si sono verificati una ventina di minuti dopo il nome del computer era DESKTOP-serie di numeri(che riconosco perché è il nome del pc). Quindi la mia domanda è: che cosa è quel computer WIN-serie di caratteri e numeri? (considerando che ho appena riformattato il pc e  che anche prima della riformattazione avevo notato questo comportamento, primi eventi con un nome e tutti quelli dopo con il nome del pc) 

Spero di essere stata chiara.

Windows per utenti privati | Windows 10 | Sicurezza e privacy

Domanda bloccata. Questa domanda è stata eseguita dalla community del supporto tecnico Microsoft. È possibile votare se è utile, ma non è possibile aggiungere commenti o risposte o seguire la domanda.

0 commenti

6 risposte

Ordina per: Più utili
Più utili Più recente Meno recente
  1. Anonimo
    2018-05-01T20:01:05+00:00

    La ringrazio per la risposta. Quindi non dovrei preoccuparmi della presenza di due nomi, vero? Inoltre ho dovuto riformattare il pc ed ho notato che il nome del computer ora è sempre lo stesso. 

    Ho già disabilitato la funzionalità di connessione remora al pc, ma ho notato che comunque gli eventi si verificano ogni volta che accendo il pc. Ho provato ora ad accendere il pc, tenendo la connessione spenta ed ho notato che gli eventi si sono comunque verificati. Forse si verificano ogni volta che si accende il pc?

    La risposta è stata utile?

    0 commenti
  2. Anonimo
    2018-05-01T11:59:37+00:00

    Ciao AWQI,

    Sembrerebbe che l'origine del processo in un caso sia il tuo sistema operativo.

    Probabilmente prima ancora del Login.

    Per l'accesso in remoto, l'operazione sembrerebbe essere fallita. Avevi aperto il prompt dei comandi ? Hai degli hard disk esterni?

    Per essere certi di aver disabilitato la connessione remota, digita Sysdm.cpl e premi invio > Clicca sulla scheda Connessione remota e disattiva Consenti connessione remote al computer.

    Facci sapere.

    Rimaniamo a tua disposizione.

    Francesca

    La risposta è stata utile?

    0 commenti
  3. Anonimo
    2018-05-01T01:11:13+00:00

    Purtroppo non posso inviarle gli screen ma le riporto ciò che c'è scritto :

    Nome registro:Sicurezza

    Origine:Microsoft Windows security 

    IDevento:

    Livello: informazioni 

    Utente:N/D

    Opcode :informazioni

    Categoria attività : accesso(o accesso speciale) 

    Parola chiave:controllo riuscito 

    Computer : WIN-*****

    Il nome WIN-**** è rimasto solo per gli eventi che si sono verificato nei venti minuti successivi, dopo quella ventina di minuti il nome del Computer è cambiato diventando DESKTOP-****( che è il nome che riconosco) 

    ed è rimasto tale per tutti gli eventi che si sono verificato da quel momento in poi. 

    Inoltre vorrei porle un'altra domanda, andando su Registri applicazioni e servizi - >Microsoft - > windows-> TerminalService - LocalSessionManager ho notato che si sono verificati eventi con ID:21,22,23,24,40, 59,34 che in teoria riguardano accessi in remoto, no? 

    Io però ho disattivato l'opzione che permette le connessioni in remoto e quindi volevo sapere se potrebbe essersi verificata un'intrusione o se questi eventi si verificano anche quando io faccio faccio l'accesso normale accendendo e immettendo la mia password. Le scrivo di seguito cosa viene riportato questi eventi :

    ---Questa parte è identica per tutti e 5 gli eventi

    Cambia solo IDevento---

    Nome registro:Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

    Origine:TerminalServices-LocalSessionManager

    IDevento:21

    Livello: informazioni 

    Utente:SYSTEM

    Opcode :informazioni

    Categoria attività : Nessuna

    Parola chiave:

    Computer : DESKTOP-7YMLUM3

    EVENTO :21

    {Servizi Desktop remoto:accesso alla sessione eseguito. 

    Utente:DESKTOP-7YMLUM3\Sara

    ID sessione:2 

    Indirizzo rete di origine :LOCALE} 

    EVENTO :22

    {Servizi Desktop remoto:Notifica di avvio shell ricevuta. 

    Utente:DESKTOP-7YMLUM3\Sara

    ID sessione:2 

    Indirizzo rete di origine :LOCALE} 

    EVENTO :23

    {Servizi Desktop remoto:disconnessione dalla sessione eseguita

    Utente:DESKTOP-7YMLUM3\Sara

    ID sessione:1

    EVENTO :24

    {Servizi Desktop remoto: sessione disconnessa

    Utente:DESKTOP-7YMLUM3\Sara

    ID sessione:1

    Indirizzo rete di origine :LOCALE} 

    EVENTO :40

    {La sessione 2 è stata disconnessa codice motivo 11

    La sessione 1 è stata disconnessa codice motivo 11}

    EVENTO :59

    {%da%S}

    EVENTO :34

    {Accessi non consentiti da Servizi Desktop remoto perché è in corso l'installazione } 

    La ringrazio per il suo aiuto.

    La risposta è stata utile?

    0 commenti
  4. Spigolo 135.3K Punti di reputazione Moderatore volontario
    2018-04-29T19:44:54+00:00

    ciao AWQI

    La lettura ed interpretazione del Visualizzatore eventi, in special modo la scheda Sicurezza, è molto tecnica e richiede esperienza.

    Non è consigliato l'utilizzo di questo strumento se non vi sono problematiche manifeste o si sta cercando la causa di un evento che genera una disfunzione.

    La risposta è stata utile?

    0 commenti
  5. Anonimo
    2018-04-29T16:21:46+00:00

    Ciao AWQI!

    Vuoi mandarci un print screen degli eventi, così possiamo essere più precisi?

    Ad ogni modo dovrebbe trattarsi di processi per interni a Windows.

    Facci sapere.

    Rimaniamo a tua disposizione.

    Francesca

    La risposta è stata utile?

    0 commenti