日志中的秘密 Windows登录类型知多少?
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗 不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。
登录类型2:交互式登录(Interactive)
这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
登录类型3:网络(Network)
当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
登录类型4:批处理(Batch)
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service)
与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。如何起名
登录类型7:解锁(Unlock)
你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
登录类型8:网络明文(NetworkCleartext)
这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
登录类型9:新凭证(NewCredentials)
当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。
登录类型10:远程交互(RemoteInteractive)
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
日志中的秘密 Windows登录类型知多少?相关推荐
- 日志中的秘密 Windows登录类型都有哪些
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗 不错,Window ...
- 日志中的秘密:Windows登录类型知多少
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗? 不错,Windo ...
- Windows登录类型知多少?
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗? 不错,Windo ...
- Windows登录类型及安全日志解析
Windows登录类型及安全日志解析 一.Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上 ...
- 日志中的秘密:Windows登录类型
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的"登录类型"并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗? 不错,Windo ...
- 查看windows登陆日志_如何在Windows登录屏幕上查看以前的登录信息
查看windows登陆日志 By default, most versions of Windows record an event every time a user tries to log on ...
- MC开服教程3:python提取日志中的聊天记录、登录信息、死亡信息、成就信息
零.前言 系列教程 MC开服教程1:简略版使用阿里云部署mc服务器(paper端) MC开服教程2:材质包法自定义唱片音乐 一.总介绍 在云端部署好多人服务器后,mc的logs文件夹里面记录了游戏的日 ...
- 运维:Windows 系统安全日志中登录类型介绍
IT运维者必备技能包括能看懂操作系统的日志,才能快速定位问题处理问题,Windows系统的安全日志中可以获得更多有价值的信息,比如它细分了很多种登录类型,可以方便让你区分登录者到底是从本地登录.网络登 ...
- 安全事件日志中的登录事件
windows日志ID 表 1:安全事件日志中的登录事件 事件 ID 说明 528 用户成功登录计算机. 529 用户使用系统未知的用户名登录,或已知用户使用错误的密码登录. 530 用户帐户在许可的 ...
最新文章
- Microbiome:中外合作揭示微生物群落降解复杂微生物聚合物的酶(视频导读)
- Linux Kernel/optee/ATF等操作系统的异常向量表的速查
- 【数据竞赛】Kaggle竞赛如何保证线上线下一致性?
- 基本的Socket通信
- 恭贺微软技术俱乐部苏州站正式成立
- 怎样洗头使头发变黑变多
- 红米手机5怎么样卡刷开发版开启root超级权限
- JDK1.8 中 ConcurrentHashMap源码分析(一)容器初始化
- 文本分类项目GPU版本代码
- 绘制多个折线图_精品图表 | Excel绘制面板折线图
- 重庆文件服务器,重庆filecoin服务器
- java 类的继承 例题_Java_接口与类之间继承例题
- Lync部署学习笔记(一)
- 架构蓝图--软件架构 4+1 视图模型
- 【NDSS 2021】On the Insecurity of SMS One-Time Password Messages against Local Attackers 论文笔记
- java .jar怎么打开_详解jar文件怎么打开
- VC6.0致命错误 RC1015: 无法打开包含文件 'afxres.h'.解决方法
- java五子棋难度_简单五子棋JAVA
- 想做AI工程师?这个案例必须掌握!(附完整代码Keras实现CNN)
- P3840蜗牛一期--虚拟局域网VLAN