正在閱讀:日誌中的秘密:Windows登錄類型知多少日誌中的秘密:Windows登錄類型知多少

2008-01-07 17:05 出處:其它網站 作者:佚名 責任編輯:zhangxinxin

  如果你留意Windows系統的安全日誌,在那些事件描述中你將會發現堶悸滿孝n錄類型”並非全部相同,難道除了在鍵盤上進行互動式登錄(登錄類型1)之外還有其它類型嗎?

  不錯,Windows為了讓你從日誌中穫得更多有價值的資訊,它細分了很多種登錄類型,以便讓你區分登錄者到底是從本地登錄,還是從網路登錄,以及其它更多的登錄方式。因為了解了這些登錄方式,將有助於你從事件日誌中發現可疑的駭客行為,並能夠判斷其攻擊方式。下面我們就來詳細地看看Windows的登錄類型。

  登錄類型2:互動式登錄(Interactive)

  這應該是你最先想到的登錄方式吧,所謂互動式登錄就是指用戶在電腦的控制台上進行的登錄,也就是在本地鍵盤上進行的登錄,但不要忘記透過KVM登錄仍然屬於互動式登錄,雖然它是基於網路的。

  登錄類型3:網路(Network)

  當你從網路的上訪問一台電腦時在大多數情況下Windows記為類型3,最常見的情況就是連接到共享文件夾或者共享印表機時。另外大多數情況下透過網路登錄IIS時也被記為這種類型,但基本驗證方式的IIS登錄是個例外,它將被記為類型8,下面將講述。

  登錄類型4:批處理(Batch)

  當Windows運行一個計劃任務時,“計劃任務服務”將為這個任務首先創建一個新的登錄會話以便它能在此計劃任務所配置的用戶賬戶下運行,當這種登錄出現時,Windows在日誌中記為類型4,對於其它類型的工作任務系統,依賴於它的設計,也可以在開始工作時產生類型4的登錄事件,類型4登錄通常表明某計劃任務啟動,但也可能是一個惡意用戶透過計劃任務來猜測用戶密碼,這種嘗試將產生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由於計劃任務的用戶密碼沒能同步修改造成的,比如用戶密碼修改了,而忘記了在計劃任務中進行修改。

  登錄類型5:服務(Service)

  與計劃任務類似,每種服務都被配置在某個特定的用戶賬戶下運行,當一個服務開始時,Windows首先為這個特定的用戶創建一個登錄會話,這將被記為類型5,失敗的類型5通常表明用戶的密碼已變而這裡沒得到更新,當然這也可能是由惡意用戶的密碼猜測引起的,但是這種可能性比較小,因為創建一個新的服務或編輯一個已存在的服務默認情況下都要求是管理員或serversoperators身份,而這種身份的惡意用戶,已經有足夠的能力來幹他的壞事了,已經用不著費力來猜測服務密碼了。

  登錄類型7:解鎖(Unlock)

  你可能希望當一個用戶離開他的電腦時相應的工作站自動開始一個密碼保護的屏保,當一個用戶回來解鎖時,Windows就把這種解鎖操作認為是一個類型7的登錄,失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖電腦。

  登錄類型8:網路明文(NetworkCleartext)

  這種登錄表明這是一個像類型3一樣的網路登錄,但是這種登錄的密碼在網路上是透過明文傳輸的,WindowsServer服務是不允許透過明文驗證連接到共享文件夾或印表機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型。“登錄過程”欄都將列出Advapi。

  登錄類型9:新憑證(NewCredentials)

  當你使用帶/Netonly參數的RUNAS命令運行一個程式時,RUNAS以本地目前登錄用戶運行它,但如果這個程式需要連接到網路上的其它電腦時,這時就將以RUNAS命令中指定的用戶進行連接,同時Windows將把這種登錄記為類型9,如果RUNAS命令沒帶/Netonly參數,那麼這個程式就將以指定的用戶運行,但日誌中的登錄類型是2。

  登錄類型10:遠端互動(RemoteInteractive)

  當你透過終端服務、遠端桌面或遠端協助訪問電腦時,Windows將記為類型10,以便與真正的控制台登錄相區別,注意XP之前的版本不支援這種登錄類型,比如Windows2000仍然會把終端服務登錄記為類型2。

  登錄類型11:緩存互動(CachedInteractive)

  Windows支援一種稱為緩存登錄的功能,這種功能對移動用戶尤其有利,比如你在自己網路之外以域用戶登錄而無法登錄域控制器時就將使用這種功能,默認情況下,Windows緩存了最近10次互動式域登錄的憑證HASH,如果以後當你以一個域用戶登錄而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。

  上面講了Windows的登錄類型,但默認情況下Windows2000是沒有記錄安全日誌的,你必須先啟用組策略“電腦配置/Windows設定/安全設定/本地策略/審核策略”下的“審核登錄事件”才能看到上面的記錄資訊。希望這些詳細的記錄資訊有助於大家更好地掌握系統情況,維護網路安定。

關注我們

最新資訊離線隨時看 聊天吐槽贏獎品