windows安全日志-登陆类型
Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。
1.登录类型2:交互式登录(Interactive)
这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
2.登录类型3:网络(Network)
当你从网络上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
3.登录类型4:批处理(Batch)
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
4.登录类型5:服务(Service)
与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
5.登录类型7:解锁(Unlock)
你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
6.登录类型8:网络明文(NetworkCleartext)
这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
7.登录类型9:新凭证(NewCredentials)
当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。
8.登录类型10:远程交互(RemoteInteractive)
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
9.登录类型11:缓存交互(CachedInteractive)
Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
windows安全日志-登陆类型相关推荐
- Windows安全日志
在运行中输入:eventvwr.msc,即可打开事件日志. 登录类型 描述 2 互动(键盘和屏幕的登录系统) 3 网络(即连接到共享文件夹从其他地方在这台电脑上网络) 4 批处理(即计划任务) 5 服 ...
- 应急响应 | 通过Python对Windows事件日志进行解析
Python-evtx python-evtx是用于最近的Windows事件日志文件(文件扩展名为" .evtx"的文件)的纯Python解析器.该模块提供对File和Chunk标 ...
- window服务器看登录日志文件,【谁登了我的电脑?教你如何查看Windows事件日志】,windows日志...
[谁登了我的电脑?教你如何查看Windows事件日志],windows日志 来源:数据安全与取证(ID:Cflab_net) 原创:Wendy 出于工作需要,除了自己的Mac笔记本,Wendy还配了一 ...
- 计算机怎么看事件管理,【谁登了个人电脑?教你如何查看Windows事件日志】
来源:数据安全与取证(ID:Cflab_net)安全 原创:Wendyspa 出于工做须要,除了本身的Mac笔记本,Wendy还配了一个Windows台式机.笔记本随身携带倒没什么,但最近总以为每次上 ...
- Windows安全日志分析
Windows安全日志分析 0x00 引言 在应急响应初步阶段,我们会对系统日志.中间件安全日志.恶意文件等进行收集.接下来便是要进一步对这些文件进行分析:对恶意文件逆向.日志文件分析.梳理入侵时间线 ...
- Windows版本Oracle审计日志,【情报】Oracle ORA-28056: 未能将审计记录写入 Windows 事件日志...
今日创建新数据库时一直提示,写入audit到Windows 事件日志失败(Writing audit records to Windows Event Log failed),一路忽略,算是创建完成. ...
- SQL Server 无法生成 FRunCM 线程。请查看 SQL Server 错误日志和 Windows 事件日志(转)...
前言: 今天遇到这个sql服务无法启用 .无法登陆 的情况..在google 百度 搜了一下.发现很多网站都是采集来的数据..(很奇怪这些采集站都那么靠前!) 照着文章里边的方法去试试都不行,,,后来 ...
- Windows IIS 日志分析研究(Log Parser Log Parser Lizard Log Parser Studio) update...
Windows主要有以下三类日志记录系统事件:应用程序日志.系统日志和安全日志. 存放目录:X:\Windows\System32\winevt\Logs\ System.evtx 系统日志 App ...
- windows 防火墙日志_如何使用Windows防火墙日志跟踪防火墙活动
windows 防火墙日志 In the process of filtering Internet traffic, all firewalls have some type of logging ...
最新文章
- HarmonyOS UI开发 TableLayout(表格布局) 的使用
- 九月计划 附:《使用 Microsoft .NET 的企业解决方案模式》
- java poi操作word2007_java使用poi解析2007以上的word文档中的表格与图片
- deployment:声明式的升级应用
- Asp.net MVC应用在IIS7上部署后403错误解决方案
- 苹果邮箱 android设置字体,苹果6邮件怎么设置qq邮箱怎么设置几号字体
- 蓝桥杯c语言本科试题,蓝桥杯c语言试题2015(3)
- 对于IT这两个字眼,是不是只能由学习过IT的大学生才能做呢,就由我来为大家讲解一下IT的由来!
- 绿色版Mysql数据库快速搭建
- OKR教练:为何落地OKR需要复盘?
- IE不支持使用for in语法
- sata7p 定义_SATA接口定义
- 【Delphi】中使用消息Messages(五)Windows消息
- 简单的响应式html按钮客服
- NISP二级换CISP的时候需要再花钱吗?【NISP】管理中心
- 华为跑了:中国经济不会毁在高价房贷上,中国年轻人还有未来?
- 生产环境下nginx代理跨域解决
- toLocaleString千分位
- 【Mimic】《Mimicking Very Efficient Network for Object Detection》
- html 自动返回首页,mui页面跳转,进入子页面后自动回到首页