如果你留意Windows系統的安全日志在那些事件描述中你將會發現裡面的登錄類型並非全部相同難道除了在鍵盤上進行交互式登錄(登錄類型)之外還有其它類型嗎?
不錯Windows為了讓你從日志中獲得更多有價值的信息它細分了很多種登錄類型以便讓你區分登錄者到底是從本地登錄還是從網絡登錄以及其它更多的登錄方式因為了解了這些登錄方式將有助於你從事件日志中發現可疑的黑客行為並能夠判斷其攻擊方式下面我們就來詳細地看看Windows的登錄類型
登錄類型交互式登錄(Interactive)
這應該是你最先想到的登錄方式吧所謂交互式登錄就是指用戶在計算機的控制台上進行的登錄也就是在本地鍵盤上進行的登錄但不要忘記通過KVM登錄仍然屬於交互式登錄雖然它是基於網絡的
登錄類型網絡(Network)
當你從網絡的上訪問一台計算機時在大多數情況下Windows記為類型最常見的情況就是連接到共享文件夾或者共享打印機時另外大多數情況下通過網絡登錄IIS時也被記為這種類型但基本驗證方式的IIS登錄是個例外它將被記為類型下面將講述
登錄類型批處理(Batch)
當Windows運行一個計劃任務時計劃任務服務將為這個任務首先創建一個新的登錄會話以便它能在此計劃任務所配置的用戶賬戶下運行當這種登錄出現時Windows在日志中記為類型對於其它類型的工作任務系統依賴於它的設計也可以在開始工作時產生類型的登錄事件類型登錄通常表明某計劃任務啟動但也可能是一個惡意用戶通過計劃任務來猜測用戶密碼這種嘗試將產生一個類型的登錄失敗事件但是這種失敗登錄也可能是由於計劃任務的用戶密碼沒能同步更改造成的比如用戶密碼更改了而忘記了在計劃任務中進行更改
登錄類型服務(Service)
與計劃任務類似每種服務都被配置在某個特定的用戶賬戶下運行當一個服務開始時Windows首先為這個特定的用戶創建一個登錄會話這將被記為類型失敗的類型通常表明用戶的密碼已變而這裡沒得到更新當然這也可能是由惡意用戶的密碼猜測引起的但是這種可能性比較小因為創建一個新的服務或編輯一個已存在的服務默認情況下都要求是管理員或serversoperators身份而這種身份的惡意用戶已經有足夠的能力來干他的壞事了已經用不著費力來猜測服務密碼了
登錄類型解鎖(Unlock)
你可能希望當一個用戶離開他的計算機時相應的工作站自動開始一個密碼保護的屏保當一個用戶回來解鎖時Windows就把這種解鎖操作認為是一個類型的登錄失敗的類型登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機
(NetworkCleartext)
這種登錄表明這是一個像類型一樣的網絡登錄但是這種登錄的密碼在網絡上是通過明文傳輸的WindowsServer服務是不允許通過明文驗證連接到共享文件夾或打印機的據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型登錄過程欄都將列出Advapi
登錄類型新憑證(NewCredentials)
當你使用帶/Netonly參數的RUNAS命令運行一個程序時RUNAS以本地當前登錄用戶運行它但如果這個程序需要連接到網絡上的其它計算機時這時就將以RUNAS命令中指定的用戶進行連接同時Windows將把這種登錄記為類型如果RUNAS命令沒帶/Netonly參數那麼這個程序就將以指定的用戶運行但日志中的登錄類型是
登錄類型遠程交互(RemoteInteractive)
當你通過終端服務遠程桌面或遠程協助訪問計算機時Windows將記為類型以便與真正的控制台登錄相區別注意XP之前的版本不支持這種登錄類型比如Windows仍然會把終端服務登錄記為類型
登錄類型緩存交互(CachedInteractive)
Windows支持一種稱為緩存登錄的功能這種功能對移動用戶尤其有利比如你在自己網絡之外以域用戶登錄而無法登錄域控制器時就將使用這種功能默認情況下Windows緩存了最近次交互式域登錄的憑證HASH如果以後當你以一個域用戶登錄而又沒有域控制器可用時Windows將使用這些HASH來驗證你的身份
上面講了Windows的登錄類型但默認情況下Windows是沒有記錄安全日志的你必須先啟用組策略計算機配置/Windows設置/安全設置/本地策略/審核策略下的審核登錄事件才能看到上面的記錄信息希望這些詳細的記錄信息有助於大家更好地掌握系統情況維護網絡安定
From:http://tw.wingwit.com/Article/os/xtgl/201311/10149.html
