|
如果你留意Windows系统的安全日志在那些事件描述中你将会发现里面的登录类型并非全部相同难道除了在键盘上进行交互式登录(登录类型)之外还有其它类型吗? 不错Windows为了让你从日志中获得更多有价值的信息它细分了很多种登录类型以便让你区分登录者到底是从本地登录还是从网络登录以及其它更多的登录方式因为了解了这些登录方式将有助于你从事件日志中发现可疑的黑客行为并能够判断其攻击方式下面我们就来详细地看看Windows的登录类型 登录类型交互式登录(Interactive) 这应该是你最先想到的登录方式吧所谓交互式登录就是指用户在计算机的控制台上进行的登录也就是在本地键盘上进行的登录但不要忘记通过KVM登录仍然属于交互式登录虽然它是基于网络的 登录类型网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型最常见的情况就是连接到共享文件夹或者共享打印机时另外大多数情况下通过网络登录IIS时也被记为这种类型但基本验证方式的IIS登录是个例外它将被记为类型下面将讲述 登录类型批处理(Batch) 当Windows运行一个计划任务时计划任务服务将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行当这种登录出现时Windows在日志中记为类型对于其它类型的工作任务系统依赖于它的设计也可以在开始工作时产生类型的登录事件类型登录通常表明某计划任务启动但也可能是一个恶意用户通过计划任务来猜测用户密码这种尝试将产生一个类型的登录失败事件但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的比如用户密码更改了而忘记了在计划任务中进行更改 登录类型服务(Service) 与计划任务类似每种服务都被配置在某个特定的用户账户下运行当一个服务开始时Windows首先为这个特定的用户创建一个登录会话这将被记为类型失败的类型通常表明用户的密码已变而这里没得到更新当然这也可能是由恶意用户的密码猜测引起的但是这种可能性比较小因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份而这种身份的恶意用户已经有足够的能力来干他的坏事了已经用不着费力来猜测服务密码了 登录类型解锁(Unlock) 你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保当一个用户回来解锁时Windows就把这种解锁操作认为是一个类型的登录失败的类型登录表明有人输入了错误的密码或者有人在尝试解锁计算机 (NetworkCleartext) 这种登录表明这是一个像类型一样的网络登录但是这种登录的密码在网络上是通过明文传输的WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型登录过程栏都将列出Advapi 登录类型新凭证(NewCredentials) 当你使用带/Netonly参数的RUNAS命令运行一个程序时RUNAS以本地当前登录用户运行它但如果这个程序需要连接到网络上的其它计算机时这时就将以RUNAS命令中指定的用户进行连接同时Windows将把这种登录记为类型如果RUNAS命令没带/Netonly参数那么这个程序就将以指定的用户运行但日志中的登录类型是 登录类型远程交互(RemoteInteractive) 当你通过终端服务远程桌面或远程协助访问计算机时Windows将记为类型以便与真正的控制台登录相区别注意XP之前的版本不支持这种登录类型比如Windows仍然会把终端服务登录记为类型 登录类型缓存交互(CachedInteractive) Windows支持一种称为缓存登录的功能这种功能对移动用户尤其有利比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能默认情况下Windows缓存了最近次交互式域登录的凭证HASH如果以后当你以一个域用户登录而又没有域控制器可用时Windows将使用这些HASH来验证你的身份 上面讲了Windows的登录类型但默认情况下Windows是没有记录安全日志的你必须先启用组策略计算机配置/Windows设置/安全设置/本地策略/审核策略下的审核登录事件才能看到上面的记录信息希望这些详细的记录信息有助于大家更好地掌握系统情况维护网络安定 |
