日誌秘密Windows登入型別知多少(轉)

日誌秘密Windows登入型別知多少(轉)[@more@]

　　如果你留意Windows系統的安全日誌，在那些事件描述中你將會發現裡面的“登入型別”並非全部相同，難道除了在鍵盤上進行互動式登入（登入型別1）之外還有其它型別嗎？不錯，Windows為了讓你從日誌中獲得更多有價值的資訊，它細分了很多種登入型別，以便讓你區分登入者到底是從本地登入，還是從網路登入，以及其它更多的登入方式。因為了解了這些登入方式，將有助於你從事件日誌中發現可疑的駭客行為，並能夠判斷其攻擊方式。下面我們就來詳細地看看Windows的登入型別。

　　

　　登入型別2：互動式登入（Interactive）

　　

　　這應該是你最先想到的登入方式吧，所謂互動式登入就是指使用者在計算機的控制檯上進行的登入，也就是在本地鍵盤上進行的登入，但不要忘記透過KVM登入仍然屬於互動式登入，雖然它是基於網路的。

　　

　　登入型別3：網路（Network）

　　

　　當你從網路的上訪問一臺計算機時在大多數情況下Windows記為型別3，最常見的情況就是連線到共享資料夾或者共享印表機時。另外大多數情況下透過網路登入IIS時也被記為這種型別，但基本驗證方式的IIS登入是個例外，它將被記為型別8，下面將講述。

　　

　　登入型別4：批處理（Batch）

　　

　　當Windows執行一個計劃任務時，“計劃任務服務”將為這個任務首先建立一個新的登入會話以便它能在此計劃任務所配置的使用者賬戶下執行，當這種登入出現時，Windows在日誌中記為型別4，對於其它型別的工作任務系統，依賴於它的設計，也可以在開始工作時產生型別4的登入事件，型別4登入通常表明某計劃任務啟動，但也可能是一個惡意使用者透過計劃任務來猜測使用者密碼，這種嘗試將產生一個型別4的登入失敗事件，但是這種失敗登入也可能是由於計劃任務的使用者密碼沒能同步更改造成的，比如使用者密碼更改了，而忘記了在計劃任務中進行更改。

　　

　　登入型別5：服務（Service）

　　

　　與計劃任務類似，每種服務都被配置在某個特定的使用者賬戶下執行，當一個服務開始時，Windows首先為這個特定的使用者建立一個登入會話，這將被記為型別5，失敗的型別5通常表明使用者的密碼已變而這裡沒得到更新，當然這也可能是由惡意使用者的密碼猜測引起的，但是這種可能性比較小，因為建立一個新的服務或編輯一個已存在的服務預設情況下都要求是管理員或serversoperators身份，而這種身份的惡意使用者，已經有足夠的能力來幹他的壞事了，已經用不著費力來猜測服務密碼了。

　　

　　登入型別7：解鎖（Unlock）

　　

　　你可能希望當一個使用者離開他的計算機時相應的工作站自動開始一個密碼保護的屏保，當一個使用者回來解鎖時，Windows就把這種解鎖操作認為是一個型別7的登入，失敗的型別7登入表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。

　　

　　登入型別8：網路明文（NetworkCleartext）

　　

　　這種登入表明這是一個像型別3一樣的網路登入，但是這種登入的密碼在網路上是透過明文傳輸的，WindowsServer服務是不允許透過明文驗證連線到共享資料夾或印表機的，據我所知只有當從一個使用Advapi的ASP指令碼登入或者一個使用者使用基本驗證方式登入IIS才會是這種登入型別。“登入過程”欄都將列出Advapi.

　　

　　登入型別9：新憑證（NewCredentials）

　　

　　當你使用帶/Netonly引數的RUNAS命令執行一個程式時，RUNAS以本地當前登入使用者執行它，但如果這個程式需要連線到網路上的其它計算機時，這時就將以RUNAS命令中指定的使用者進行連線，同時Windows將把這種登入記為型別9，如果RUNAS命令沒帶/Netonly引數，那麼這個程式就將以指定的使用者執行，但日誌中的登入型別是2.

　　

　　登入型別10：遠端互動（RemoteInteractive）

　　

　　當你透過終端服務、遠端桌面或遠端協助訪問計算機時，Windows將記為型別10，以便與真正的控制檯登入相區別，注意XP之前的版本不支援這種登入型別，比如Windows2000仍然會把終端服務登入記為型別2.

　　

　　登入型別11：快取互動（CachedInteractive）

　　

　　Windows支援一種稱為快取登入的功能，這種功能對移動使用者尤其有利，比如你在自己網路之外以域使用者登入而無法登入域控制器時就將使用這種功能，預設情況下，Windows快取了最近10次互動式域登入的憑證HASH，如果以後當你以一個域使用者登入而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份。

　　

　　上面講了Windows的登入型別，但預設情況下Windows2000是沒有記錄安全日誌的，你必須先啟用組策略“計算機配置/Windows設定/安全設定/本地策略/稽核策略”下的“稽核登入事件”才能看到上面的記錄資訊。希望這些詳細的記錄資訊有助於大家更好地掌握系統情況，維護網路安定。