如果你留意 Windows 系统的安全日志,在那些事件描述中你将会发现里面的 “登入型别” 并非全部相同,难道除了在键盘上进行互动式登入(登入型别 1)之外还有其它型别吗?
不错,Windows 为了让你从日志中获得更多有价值的资讯,它细分了很多种登入型别,以便让你区分登入者到底是从本地登入,还是从互联网登入,以及其它更多的登入方式。因为了解了这些登入方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看 Windows 的登入型别。
登入型别 2:互动式登入(Interactive)
这应该是你最先想到的登入方式吧,所谓互动式登入就是指使用者在计算机的控制台上进行的登入,也就是在本地键盘上进行的登入,但不要忘记通过 KVM 登入仍然属于互动式登入,虽然它是基于互联网的。
登入型别 3:互联网(Network)
当你从互联网的上访问一台计算机时在大多数情况下 Windows 记为型别 3,最常见的情况就是连线到共享资料夹或者共享印表机时。另外大多数情况下通过互联网登入 IIS 时也被记为这种型别,但基本验证方式的 IIS 登入是个例外,它将被记为型别 8,下面将讲述。
  登入型别 4:批处理(Batch)
当 Windows 执行一个计划任务时,“计划任务服务” 将为这个任务首先建立一个新的登入会话以便它能在此计划任务所配置的使用者账户下执行,当这种登入出现时,Windows 在日志中记为型别 4,对于其它型别的工作任务系统,依赖于它的设计,也可以在开始工作时产生型别 4 的登入事件,型别 4 登入通常表明某计划任务启动,但也可能是一个恶意使用者通过计划任务来猜测使用者密码,这种尝试将产生一个型别 4 的登入失败事件,但是这种失败登入也可能是由于计划任务的使用者密码没能同步更改造成的,比如使用者密码更改了,而忘记了在计划任务中进行更改。
登入型别 5:服务(Service)
与计划任务类似,每种服务都被配置在某个特定的使用者账户下执行,当一个服务开始时,Windows 首先为这个特定的使用者建立一个登入会话,这将被记为型别 5,失败的型别 5 通常表明使用者的密码已变而这里没得到更新,当然这也可能是由恶意使用者的密码猜测引起的,但是这种可能性比较小,因为建立一个新的服务或编辑一个已存在的服务预设情况下都要求是管理员或 serversoperators 身份,而这种身份的恶意使用者,已经有足够的能力来干他的坏事了,已经用不著费力来猜测服务密码了。
登入型别 7:解锁(Unlock)
你可能希望当一个使用者离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个使用者回来解锁时,Windows 就把这种解锁操作认为是一个型别 7 的登入,失败的型别 7 登入表明有人输入了错误的密码或者有人在尝试解锁计算机。
  登入型别 8:互联网明文(NetworkCleartext)
这种登入表明这是一个像型别 3 一样的互联网登入,但是这种登入的密码在互联网上是通过明文传输的,WindowsServer 服务是不允许通过明文验证连线到共享资料夹或印表机的,据我所知只有当从一个使用 Advapi 的 ASP 指令码登入或者一个使用者使用基本验证方式登入 IIS 才会是这种登入型别。 “登入过程” 栏都将列出 Advapi 。
登入型别 9:新凭证(NewCredentials)
当你使用带/Netonly 引数的 RUNAS 命令执行一个程式时,RUNAS 以本地当前登入使用者执行它,但如果这个程式需要连线到互联网上的其它计算机时,这时就将以 RUNAS 命令中指定的使用者进行连线,同时 Windows 将把这种登入记为型别 9,如果 RUNAS 命令没带/Netonly 引数,那么这个程式就将以指定的使用者执行,但日志中的登入型别是 2 。
登入型别 10:远端互动(RemoteInteractive)
当你通过终端服务、远端桌面或远端协助访问计算机时,Windows 将记为型别 10,以便与真正的控制台登入相区别,注意 XP 之前的版本不支援这种登入型别,比如 Windows2000 仍然会把终端服务登入记为型别 2 。
登入型别 11:WordPress 加速缓存互动(CachedInteractive)
Windows 支援一种称为 WordPress 加速缓存登入的功能,这种功能对移动使用者尤其有利,比如你在自己互联网之外以域使用者登入而无法登入域控制器时就将使用这种功能,预设情况下,WindowsWordPress 加速缓存了最近 10 次互动式域登入的凭证 HASH,如果以后当你以一个域使用者登入而又没有域控制器可用时,Windows 将使用这些 HASH 来验证你的身份。
上面讲了 Windows 的登入型别,但预设情况下 Windows2000 是没有记录安全日志的,你必须先启用组策略 “计算机配置/Windows 设定/安全设定/本地策略/稽核策略” 下的 “稽核登入事件” 才能看到上面的记录资讯。希望这些详细的记录资讯有助于大家更好地掌握系统情况,维护互联网安定。