IT運(yùn)維者必備技能包括能看懂操作系統(tǒng)的日志，才能快速定位問(wèn)題處理問(wèn)題，Windows系統(tǒng)的安全日志中可以獲得更多有價(jià)值的信息，比如它細(xì)分了很多種登錄類(lèi)型，可以方便讓你區(qū)分登錄者到底是從本地登錄、網(wǎng)絡(luò)登錄，以及其它更多的登錄方式來(lái)訪問(wèn)系統(tǒng)。通過(guò)了解這些登錄方式，將有助于你從系統(tǒng)事件日志中發(fā)現(xiàn)可疑的登錄行為，并能夠判斷其攻擊方式。今天給大家詳細(xì)地介紹Windows的登錄類(lèi)型知識(shí)，希望對(duì)大家能有幫助！

Windows 登錄類(lèi)型

登錄類(lèi)型2：交互式登錄（Interactive）
這是大家最常用的登錄方式，交互式登錄就是指用戶(hù)在計(jì)算機(jī)的控制臺(tái)上進(jìn)行的登錄，也就是在本地鍵盤(pán)上進(jìn)行的登錄，但不要忘記通過(guò)虛擬機(jī)控制臺(tái)登錄仍然屬于交互式登錄，雖然它是基于網(wǎng)絡(luò)的。

登錄類(lèi)型3：網(wǎng)絡(luò)（Network）
通過(guò)網(wǎng)絡(luò)的上訪問(wèn)一臺(tái)計(jì)算機(jī)時(shí)在大多數(shù)情況下Windows會(huì)記為類(lèi)型3，最常見(jiàn)的情況就是連接到共享文件夾或者共享打印機(jī)。另外大多數(shù)情況下通過(guò)網(wǎng)絡(luò)登錄IIS時(shí)也被記為這種類(lèi)型，但基本驗(yàn)證方式的IIS登錄是個(gè)例外，它將被記為類(lèi)型8。

登錄類(lèi)型4：批處理（Batch）
當(dāng)Windows運(yùn)行一個(gè)計(jì)劃任務(wù)時(shí)，“計(jì)劃任務(wù)服務(wù)”將為這個(gè)任務(wù)首先創(chuàng)建一個(gè)新的登錄會(huì)話以便它能在此計(jì)劃任務(wù)所配置的用戶(hù)賬戶(hù)下運(yùn)行，當(dāng)這種登錄出現(xiàn)時(shí)，Windows在日志中記為類(lèi)型4，對(duì)于其它類(lèi)型的工作任務(wù)系統(tǒng)，依賴(lài)于它的設(shè)計(jì)，也可以在開(kāi)始工作時(shí)產(chǎn)生類(lèi)型4的登錄事件，類(lèi)型4登錄通常表明某計(jì)劃任務(wù)啟動(dòng)，但也可能是一個(gè)惡意用戶(hù)通過(guò)計(jì)劃任務(wù)來(lái)猜測(cè)用戶(hù)密碼，這種嘗試將產(chǎn)生一個(gè)類(lèi)型4的登錄失敗事件，但是這種失敗登錄也可能是由于計(jì)劃任務(wù)的用戶(hù)密碼沒(méi)能同步更改造成的，比如用戶(hù)密碼更改了，而忘記了在計(jì)劃任務(wù)中進(jìn)行更改。

登錄類(lèi)型5：服務(wù)（Service）
與計(jì)劃任務(wù)類(lèi)似，每個(gè)服務(wù)都被配置在某個(gè)特定的用戶(hù)賬戶(hù)下運(yùn)行，當(dāng)一個(gè)服務(wù)開(kāi)始時(shí)，Windows首先為這個(gè)特定的用戶(hù)創(chuàng)建一個(gè)登錄會(huì)話，這將被記為類(lèi)型5，失敗的類(lèi)型5通常表明用戶(hù)的密碼已變而這里沒(méi)得到更新，當(dāng)然這也可能是由惡意用戶(hù)的密碼猜測(cè)引起的，但是這種可能性比較小，因?yàn)閯?chuàng)建一個(gè)新的服務(wù)或編輯一個(gè)已存在的服務(wù)默認(rèn)情況下都要求是管理員或服務(wù)器管理員身份，而這種身份的惡意用戶(hù)，已經(jīng)有足夠的能力來(lái)干他的壞事了，已經(jīng)用不著費(fèi)力來(lái)猜測(cè)服務(wù)密碼了。

登錄類(lèi)型7：解鎖（Unlock）
你可能希望當(dāng)一個(gè)用戶(hù)離開(kāi)他的計(jì)算機(jī)時(shí)相應(yīng)的工作站自動(dòng)開(kāi)始一個(gè)密碼保護(hù)的屏保，當(dāng)一個(gè)用戶(hù)回來(lái)解鎖時(shí)，Windows就把這種解鎖操作認(rèn)為是一個(gè)類(lèi)型7的登錄，失敗的類(lèi)型7登錄表明有人輸入了錯(cuò)誤的密碼或者有人在嘗試解鎖計(jì)算機(jī)。

登錄類(lèi)型8：網(wǎng)絡(luò)明文（NetworkCleartext）
這種登錄表明這是一個(gè)像類(lèi)型3一樣的網(wǎng)絡(luò)登錄，但是這種登錄的密碼在網(wǎng)絡(luò)上是通過(guò)明文傳輸?shù)?#xff0c;WindowsServer服務(wù)是不允許通過(guò)明文驗(yàn)證連接到共享文件夾或打印機(jī)的，據(jù)我所知只有當(dāng)從一個(gè)使用Advapi的ASP腳本登錄或者一個(gè)用戶(hù)使用基本驗(yàn)證方式登錄IIS才會(huì)是這種登錄類(lèi)型?！暗卿涍^(guò)程”欄都將列出Advapi。

登錄類(lèi)型9：新憑證（NewCredentials）
當(dāng)你使用帶/Netonly參數(shù)的RUNAS命令運(yùn)行一個(gè)程序時(shí)，RUNAS以本地當(dāng)前登錄用戶(hù)運(yùn)行它，但如果這個(gè)程序需要連接到網(wǎng)絡(luò)上的其它計(jì)算機(jī)時(shí)，這時(shí)就將以RUNAS命令中指定的用戶(hù)進(jìn)行連接，同時(shí)Windows將把這種登錄記為類(lèi)型9，如果RUNAS命令沒(méi)帶/Netonly參數(shù)，那么這個(gè)程序就將以指定的用戶(hù)運(yùn)行，但日志中的登錄類(lèi)型是2。

登錄類(lèi)型10：遠(yuǎn)程交互（RemoteInteractive）
當(dāng)你通過(guò)終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問(wèn)計(jì)算機(jī)時(shí)，Windows將記為類(lèi)型10，以便與真正的控制臺(tái)登錄相區(qū)別，注意XP之前的版本不支持這種登錄類(lèi)型，比如Windows2000仍然會(huì)把終端服務(wù)登錄記為類(lèi)型2。

登錄類(lèi)型11：緩存交互（CachedInteractive）
Windows支持一種稱(chēng)為緩存登錄的功能，這種功能對(duì)移動(dòng)用戶(hù)尤其有利，比如你在自己網(wǎng)絡(luò)之外以域用戶(hù)登錄而無(wú)法登錄域控制器時(shí)就將使用這種功能，默認(rèn)情況下，Windows緩存了最近10次交互式域登錄的憑證HASH，如果以后當(dāng)你以一個(gè)域用戶(hù)登錄而又沒(méi)有域控制器可用時(shí)，Windows將使用這些HASH來(lái)驗(yàn)證你的身份。

IT技術(shù)分享社區(qū)

個(gè)人博客網(wǎng)站：https://programmerblog.xyz

文章推薦程序員效率：畫(huà)流程圖常用的工具程序員效率：整理常用的在線筆記軟件遠(yuǎn)程辦公：常用的遠(yuǎn)程協(xié)助軟件，你都知道嗎？51單片機(jī)程序下載、ISP及串口基礎(chǔ)知識(shí)硬件：斷路器、接觸器、繼電器基礎(chǔ)知識(shí)

總結(jié)

以上是生活随笔為你收集整理的运维：Windows 系统安全日志中登录类型介绍的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。