Que signifie la déconnexion non demandée de Windows de type 0 (event1100) suivie de dizaines d'événements de connexion (événement 4264)?
J'ai laissé un script python en cours d'exécution toute la nuit. Et le matin, j'ai remarqué que mon ordinateur était avec l'écran de connexion, attendant que je tape le mot de passe (mode interactif). Je ne m'y attendais pas, le programme s'est arrêté, et lors de la connexion, c'était comme si le PC redémarrait.
En vérifiant les journaux d'événements Windows. J'ai remarqué qu'à 4h07 du matin (évidemment, personne n'était autour de mon PC), j'ai reçu un journal d'événements 1100, ce qui indique probablement un arrêt (personne ne l'a demandé). Après cet événement, j'ai eu des centaines de 4907 événements (changement de politique d'audit) tous à 4h07h22 , tous avec un système d'identification de sécurité, et chacun modifiant un fichier différent "C:WindowsSysWOW64 ", à 4h08, j'ai plusieurs créations de processus (principalement des équipes, skype et ces choses), et Dans les 3 minutes suivantes, plus de 30 connexions ont été faites (événements 4624). Mon PC n'est pas un serveur, c'est juste mon propre PC , mais il était connecté au wifi. Sur ces 30 connexions, j'ai remarqué que la toute première avait une connexion de type 0 ! J'ai cherché ce type de type d'ouverture de session et je n'ai pas trouvé d'autre documentation que les types 1-9. Quoi qu'il en soit, lors de cette première connexion de type 0, l'ID de sécurité était NULL SID et l'id de connexion était 0x0, avec un GUID plein de 0s
Ensuite, après cette première connexion de type 0, toutes les autres connexions sont de type 5 (la plupart d'entre elles) avec le même utilisateur (mon PC n'a que 1 utilisateur), mais certaines d'entre elles (plus de 1) étaient de type 2, ce que je comprends est le mode interactif. Mais personne n'était autour de mon PC à 4 heures du matin. Quelque les connexions de type 5 ont été suivies par des connexions spéciales (événement 4672) avec système de noms d'utilisateur.
Après ces 30 connexions en l'espace de 3 minutes, tous les autres événements de sécurité étaient des connexions et des connexions spéciales de 4h20 à 9h20. J'ai essayé de faire correspondre les tentatives de déconnexion, mais je n'en ai trouvé que 2 vers 9h20 alors que j'étais sur le point d'utiliser mon PC pour trouver l'écran de connexion.
Quelqu'un peut-il m'aider à comprendre ce que cela signifie, ce qui s'est passé et ce qu'est un type d'ouverture de session 0 ?