文章詳情頁
日志秘密 Windows登錄類型知多少
瀏覽:94日期:2023-05-23 11:04:02
如果你留意Windows系統(tǒng)的安全日志,在那些事件描述中你將會發(fā)現(xiàn)里面的“登錄類型”并非全部相同,難道除了在鍵盤上進行交互式登錄(登錄類型1)之外還有其它類型嗎?不錯,Windows為了讓你從日志中獲得更多有價值的信息,它細分了很多種登錄類型,以便讓你區(qū)分登錄者到底是從本地登錄,還是從網(wǎng)絡(luò)登錄,以及其它更多的登錄方式。因為了解了這些登錄方式,將有助于你從事件日志中發(fā)現(xiàn)可疑的黑客行為,并能夠判斷其攻擊方式。下面我們就來詳細地看看Windows的登錄類型。登錄類型2:交互式登錄(Interactive)這應(yīng)該是你最先想到的登錄方式吧,所謂交互式登錄就是指用戶在計算機的控制臺上進行的登錄,也就是在本地鍵盤上進行的登錄,但不要忘記通過KVM登錄仍然屬于交互式登錄,雖然它是基于網(wǎng)絡(luò)的。登錄類型3:網(wǎng)絡(luò)(Network)當(dāng)你從網(wǎng)絡(luò)的上訪問一臺計算機時在大多數(shù)情況下Windows記為類型3,最常見的情況就是連接到共享文件夾或者共享打印機時。另外大多數(shù)情況下通過網(wǎng)絡(luò)登錄IIS時也被記為這種類型,但基本驗證方式的IIS登錄是個例外,它將被記為類型8,下面將講述。登錄類型4:批處理(Batch)當(dāng)Windows運行一個計劃任務(wù)時,“計劃任務(wù)服務(wù)”將為這個任務(wù)首先創(chuàng)建一個新的登錄會話以便它能在此計劃任務(wù)所配置的用戶賬戶下運行,當(dāng)這種登錄出現(xiàn)時,Windows在日志中記為類型4,對于其它類型的工作任務(wù)系統(tǒng),依賴于它的設(shè)計,也可以在開始工作時產(chǎn)生類型4的登錄事件,類型4登錄通常表明某計劃任務(wù)啟動,但也可能是一個惡意用戶通過計劃任務(wù)來猜測用戶密碼,這種嘗試將產(chǎn)生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由于計劃任務(wù)的用戶密碼沒能同步更改造成的,比如用戶密碼更改了,而忘記了在計劃任務(wù)中進行更改。登錄類型5:服務(wù)(Service)與計劃任務(wù)類似,每種服務(wù)都被配置在某個特定的用戶賬戶下運行,當(dāng)一個服務(wù)開始時,Windows首先為這個特定的用戶創(chuàng)建一個登錄會話,這將被記為類型5,失敗的類型5通常表明用戶的密碼已變而這里沒得到更新,當(dāng)然這也可能是由惡意用戶的密碼猜測引起的,但是這種可能性比較小,因為創(chuàng)建一個新的服務(wù)或編輯一個已存在的服務(wù)默認情況下都要求是管理員或serversoperators身份,而這種身份的惡意用戶,已經(jīng)有足夠的能力來干他的壞事了,已經(jīng)用不著費力來猜測服務(wù)密碼了。登錄類型7:解鎖(Unlock)你可能希望當(dāng)一個用戶離開他的計算機時相應(yīng)的工作站自動開始一個密碼保護的屏保,當(dāng)一個用戶回來解鎖時,Windows就把這種解鎖操作認為是一個類型7的登錄,失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。
標簽:
Windows系統(tǒng)
相關(guān)文章:
1. Win10登錄不上dota2提示“無法與任何服務(wù)器建立連接”怎么辦?2. Windows10系統(tǒng)下qq輸入法登錄不了怎么辦?3. 如何為win10系統(tǒng)登錄郵箱賬戶添加別名賬號4. Win11不要密碼怎么設(shè)置?Win11取消密碼登錄的步驟教程5. Windows10如何取消pin碼登錄?Win10刪除pin登錄密碼步驟6. win7防火墻阻止QQ登錄的解決辦法7. 修改注冊表Winlogon讓W(xué)indows XP自動登錄8. Win10專業(yè)版進入后頻閃怎么辦?Win10登錄后閃屏解決方法9. Win10無法登錄微軟賬戶提示“內(nèi)部服務(wù)器錯誤(500)”怎么解決?10. 手把手教你做Windows XP登錄界面
排行榜
