运维:Windows 系统安全日志中登录类型介绍

目录

Windows 登录类型

登录类型2:交互式登录(Interactive)

登录类型3:网络(Network)

登录类型4:批处理(Batch)

登录类型5:服务(Service)

登录类型7:解锁(Unlock)

登录类型8:网络明文(NetworkCleartext)

登录类型9:新凭证(NewCredentials)

登录类型10:远程交互(RemoteInteractive)

登录类型11:缓存交互(CachedInteractive)


5ffa336726c098ac3166acc0a2a5dea5.png

IT运维者必备技能包括能看懂操作系统的日志,才能快速定位问题处理问题,Windows系统的安全日志中可以获得更多有价值的信息,比如它细分了很多种登录类型,可以方便让你区分登录者到底是从本地登录、网络登录,以及其它更多的登录方式来访问系统。通过了解这些登录方式,将有助于你从系统事件日志中发现可疑的登录行为,并能够判断其攻击方式。今天给大家详细地介绍Windows的登录类型知识,希望对大家能有帮助!

25b581fac183a04e3148f92612a860f6.png

Windows 登录类型

登录类型2:交互式登录(Interactive)


这是大家最常用的登录方式,交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过虚拟机控制台登录仍然属于交互式登录,虽然它是基于网络的。

登录类型3:网络(Network)


通过网络的上访问一台计算机时在大多数情况下Windows会记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

登录类型4:批处理(Batch)


当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

登录类型5:服务(Service)


与计划任务类似,每个服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或服务器管理员身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。

登录类型7:解锁(Unlock)


你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

登录类型8:网络明文(NetworkCleartext)


这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。

登录类型9:新凭证(NewCredentials)


当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。

登录类型10:远程交互(RemoteInteractive)


当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。

登录类型11:缓存交互(CachedInteractive)


Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/270376.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

c语言灯塔案例求塔低数,C++:有一个8层灯塔,每层所点灯数都等于该层上一层的两倍,一共有765盏灯,求塔底的灯数...

满意答案0214zyt2013.05.23采纳率&#xff1a;51% 等级&#xff1a;12已帮助&#xff1a;6734人// Note:Your choice is C IDE#include #include using namespace std;int main(){//第一,穷举法int i,j;int n,s;for(i0;i<765;i)//穷举的范围可以进一步缩小&#xff0c;交…

电脑知识:电脑无法开机解决方案

电脑无法开机&#xff0c;首先不要紧张&#xff0c;你电脑里面的文件资料99.99%不会丢失&#xff0c;那有可能人问了&#xff0c;剩余0.001%是什么&#xff0c;只有一种可能&#xff0c;就是你的硬盘硬件彻底坏了。 今天小编讲的这几招都是对非常容易上手的电脑小白&#xff0c…

电脑技巧:键盘上最长的按键空格键使用技巧

目录 01、音视频播放器的暂停/播放切换 02、Alt空格键 03、Ctrl空格键 04、Shift空格键 05、游戏中按键 06、密码完美替代者 空格键是所有键盘中的按键最长一个&#xff0c;我们平常使用最多的按键就是在输入文字的时候按下空格键&#xff0c;其实除了空格&#xff0c;空格键还…

Hadoop HBase概念学习系列之HBase里的客户端和HBase集群建立连接(详细)(十四)...

需要遵循以下步骤&#xff1a; 1、客户端和Zookeeper集群建立连接。在这之前客户端需要获得一些信息&#xff08;可以从HBase配置文件中读取或是直接指定&#xff09;。客户端从Zookeeper集群中读取-ROOT-表的位置信息。这是客户端发起的第一次查询。 2、客户端连接-ROOT-表&am…

run()方法和start()方法测试解析

run()方法没有启动一个新的线程&#xff0c;通过如下代码可以看出&#xff0c;是main主线程执行的 start()方法启动了一个新线程&#xff0c;启动了线程&#xff0c;从如下代码看出t1线程执行了代码

操作系统:升级Windows 11正式版的四种方法

距离 Windows 11 预览版测试已经过去近四个半月。 终于&#xff0c;在 10 月 5 日&#xff0c;微软的 Windows 11 正式版操作系统全面上市。 Win11 的正式上线&#xff0c;打破了微软在 Win 10 刚发布之时曾表示 Win 10 将会是最后一代 Windows 的说法。 微软表示&#xff0c;…

线程NEW状态和RUNNABLE状态

新建一个线程的时候是NEW状态 启动线程后是RUNNABLE状态

电脑知识:Win10系统优化的7个设置技巧

今天小编给大家介绍一些Win10系统优化的7个设置技巧&#xff0c;希望对大家能有所帮助&#xff01;1、卸载Win10自带的软件Win10默认会自带很多的内置应用&#xff08;地图、游戏、画图3D、Groove音乐、Skye、Xbox&#xff09;&#xff0c;大部分大家都用不到&#xff0c;建议卸…

c语言已知加速度求位移速度,知道初速度知道加速度求位移的公式

知道初速度知道加速度求位移的公式以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容&#xff0c;让我们赶快一起来看一下吧&#xff01;知道初速度知道加速度求位移的公式高一物理公式总结一、质点的运动(1)------直线运动1)匀变速直线运动1.平…

IllegalThreadStateException

IllegalThreadStateException

js日期显示效果

<!DOCTYPE html><html> <head> <meta charset"UTF-8"> <title></title> </head> <body> <div id"div1"> </div> <script type"text/javascript"> window.οnlοadfunction s…

操作系统:操作系统装进U盘的图解教程

使用U盘安装操作系统的相信大家都比较熟悉了&#xff0c;如果把操作系统安装在U盘中你尝试过吗&#xff1f;操作系统安装电脑的时候是写入硬盘当中&#xff0c;U盘属于移动硬盘&#xff0c;自然也在安装范围内&#xff0c;过去只是U盘空间小无法安装&#xff0c;现在随着科技发…

网络知识:WiFi越用越慢,到底是什么原因

WiFi越用越慢&#xff0c;到底是什么原因&#xff1f; 有人认为是WiFi盒子有问题&#xff0c;但其实和路由器的错误摆放也有关系。 今天&#xff0c;小编特地百度了一下&#xff0c;列出了几个路由器正确摆放的小常识&#xff0c;而且不用花一分钱&#xff0c;就可以测试出家中…

硬件知识:电脑组装机必备的知识梳理

今天小编给大家分享电脑组装机必备的知识&#xff0c;希望对大家能有所帮助&#xff01; 确实机箱内部的硬件连接中&#xff0c;大多数线材的插头和插孔都是独特的&#xff0c;比如主板的204pin&#xff0c;CPU的44pin都不能通用&#xff0c;多接口中方口和圆口的搭配也不会导致…

android 首页布局变换,Android XML布局与View之间的转换

Android的布局方式有两种&#xff0c;一种是通过xml布局&#xff0c;一种是通过java代码布局&#xff0c;两种布局方式各有各的好处&#xff0c;当然也可以相互混合使用。很多人都习惯用xml布局&#xff0c;那xml布局是如何转换成view的呢&#xff1f;本文从源码的角度来简单分…

C++的ORM工具比较

用过Java的都知道SSH框架&#xff0c;特别对于数据库开发&#xff0c;Java领域有无数的ORM框架&#xff0c;供数据持久层调用&#xff0c;如Hibernate&#xff0c;iBatis(现在改名叫MyBatis)&#xff0c;TopLink&#xff0c;JDO&#xff0c;JPA……非常方便实用。用过C#的同学们…

电脑技巧:Win10自带存储感知功能给电脑磁盘瘦身

今天给大家分享Win10自带存储感知功能给电脑磁盘瘦身功能&#xff0c;希望对大家能有所帮助&#xff01;1、什么是存储感知Win10存储感知功能属于Win10操作系统的一大亮点&#xff0c;自带有AI的存储感知功能发挥其磁盘清理功能&#xff0c;它可以在操作系统需要的情况下清理不…

线程的优先级

setPriority(); 设置线程的优先级Thread类里面的 MIN_PRIORITY 1 表示最小优先级 NORM_PRIORITY 5 表示默认优先级 MAX_PRIORITY 10 表示最大优先级