日志中的秘密:Windows登录类型知多少

哎呀网 | 发布: 2008-1-09 20:18 | 作者: 佚名 | 来源: 网络转载 | 浏览次数: 40 | 评论数: 0

哎呀网 Vista教程】如果你留意Windows系统安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?哎呀网xx)Y+Z-rv8a)mlF~

  不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。哎呀网"ki7bP%h:U%G.P%F

哎呀网hN{gI9F'c#I

  登录类型2:交互式登录(Interactive)哎呀网;L1j+O-E Au z

哎呀网;~+n7d JY H

  这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。

Wh%Zu.F3F'j[O哎呀网.Y4k%oWb0]d\

  登录类型3:网络(Network)

7bvS Fl7u6r/g哎呀网J#BAlN:D

  当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。

%sE0DQ Z哎呀网 p$g+u|a/\1SSe

  登录类型4:批处理(Batch)

Iwa!~h5P/X哎呀网wNk#K[Lsy4{.w

  当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

2G'ZU#hm @哎呀网T Qo(X%CB,fa

  登录类型5:服务(Service)哎呀网#m5n+q*M R]+e J

&f C3qe xd  与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。哎呀网Iz\o|l(q:P

哎呀网+K:c m'Gb/\

  登录类型7:解锁(Unlock)哎呀网Z9Lb:h8V#hj%`

哎呀网uFlUx"AF {I

  你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。哎呀网,P;R'pt{#_ry.w7J]4Z

s c0Cd#Y&_$z[h  登录类型8:网络明文(NetworkCleartext)哎呀网Y$H5Eb$g l8A8m

哎呀网1g;k7~L&O7Z r

  这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。哎呀网g!}LB8L9Igt[

0UFa3N`%i  登录类型9:新凭证(NewCredentials)

*h s M0u1J7Q3lKg+?哎呀网b;c-~;dQG#K4^H6s

  当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。哎呀网^JsE Ub

B?"m+VP  登录类型10:远程交互(RemoteInteractive)哎呀网 hLw4V |.OT5i

S%C7|dy4wb[.Kw'F  当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。哎呀网R2a0v S$kc,Kkp

*j9F8?D lL,[6n@  登录类型11:缓存交互(CachedInteractive)哎呀网y%]Qi,H4iZ~

| n ZW ?[ x2I  Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

O5[&H\sZ

X@MGY  上面讲了Windows的登录类型,但默认情况下Windows2000是没有记录安全日志的,你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些详细的记录信息有助于大家更好地掌握系统情况,维护网络安定。

q2O%e%k$xW
若您对该文章还有其它疑问,请到问吧提出。我们会全力为您解答。本站承诺:

TAG: Windows 网络 帐户 日志 服务

字号: | 推荐给好友

哎呀网加入收藏 哎呀网打印本页 哎呀网关闭窗口 哎呀网返回顶部 哎呀网进入博客 哎呀网进入论坛 哎呀网点击复制本页地址发给QQ/MSN好友
上一篇:重置Windows Vista帐户密码
下一篇:Vista系统隐藏的12个网络工具

 

评分:0

我来说两句

seccode

请遵守《互联网电子公告服务管理规定》及中华人民共和国其他各项有关法律法规。
严禁发表危害国家安全、损害国家利益、破坏民族团结、破坏国家宗教政策、破坏社会稳定、侮辱、诽谤、教唆、淫秽等内容的评论。
用户需对自己在使用本站服务过程中的行为承担法律责任(直接或间接导致的),本站管理员有权保留或删除评论内容。

相关阅读

精华推荐
软件信息
最新版本:V3.0.4
发布日期:2008年12月30日
全能精灵是一款系统辅助工具,包含系统检测,系统优化,系统美化,系统清理,系统维护,IE管理,任务管理器等模块,是您优化系统的好帮手。
立即下载全能精灵! 已有超过31637人下载
软件信息
最新版本:V1.5
发布日期:2008年12月08日
截图精灵是一款屏幕截图软件。可轻松截取全屏,活动窗口,自定义窗口等的图像。
立即下载截图精灵! 已有超过2786人下载
软件信息
最新版本:V2.2
发布日期:2008年11月26日
该工具可对文件进行MD5,CRC32的批量校验,同时支持文件拖放,您可以直接拖动文件到校验窗口。
立即下载校验大师! 已有超过1201人下载
内容正在更新
相关内容正在更新

最新更新

网络推荐

哎呀网 | 交流论坛 | 快捷面板 | 站点地图 | 友情链接 | 空间列表 | 站点存档 | 版权声明 | 官方日志 | 关于我们 | 内容合作 | 网站报错 | 联系我们