• 1518阅读
  • 21回复

日志中的秘密:Windows登录类型知多少 [复制链接]

上一主题 下一主题
离线赤疯子
 
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看楼主 倒序阅读 使用道具 楼主  发表于: 2008-03-27 20:03:54
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 沙发  发表于: 2008-03-27 20:07:11
不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 板凳  发表于: 2008-03-27 20:09:04
登录类型2:交互式登录(Interactive)
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 3楼 发表于: 2008-03-27 20:13:51
这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 4楼 发表于: 2008-03-27 20:17:56
登录类型3:网络(Network)
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 5楼 发表于: 2008-03-27 20:19:21
当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 6楼 发表于: 2008-03-27 20:21:59
登录类型4:批处理(Batch)
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 7楼 发表于: 2008-03-27 20:26:04
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
离线bats519
发帖
23902
金钱
1057
91币
1
信誉
0
资产
0 IST
在线时间
859 小时
注册时间
2007-12-12
最后登录
2016-01-05
只看该作者 8楼 发表于: 2008-03-27 20:29:02
不错~~
离线赤疯子
发帖
104
金钱
0
91币
0
信誉
0
资产
0 IST
在线时间
1 小时
注册时间
2008-03-18
最后登录
2008-06-03
只看该作者 9楼 发表于: 2008-03-27 20:29:14
登录类型5:服务(Service)
快速回复
限100 字节
 
上一个 下一个