• 1517阅读
  • 21回复

日志中的秘密:Windows登录类型知多少 [复制链接]

上一主题 下一主题
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 10楼 发表于: 2008-03-27 20:30:54
与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 11楼 发表于: 2008-03-27 20:31:50
登录类型7:解锁(Unlock)
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 12楼 发表于: 2008-03-27 20:32:50
你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 13楼 发表于: 2008-03-27 20:33:11
登录类型8:网络明文(NetworkCleartext)
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 14楼 发表于: 2008-03-27 20:34:14
这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 15楼 发表于: 2008-03-27 20:35:27
登录类型9:新凭证(NewCredentials)
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 16楼 发表于: 2008-03-27 20:37:24
当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 17楼 发表于: 2008-03-27 20:38:06
登录类型10:远程交互(RemoteInteractive
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 18楼 发表于: 2008-03-27 20:38:33
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 19楼 发表于: 2008-03-27 20:41:09
登录类型11:缓存交互(CachedInteractive)
快速回复
限100 字节
 
上一个 下一个