如果你留意 Windows 系統的安全日誌,在那些事件描述中你將會發現裡面的 “登入型別” 並非全部相同,難道除了在鍵盤上進行互動式登入(登入型別 1)之外還有其它型別嗎?
不錯,Windows 為了讓你從日誌中獲得更多有價值的資訊,它細分了很多種登入型別,以便讓你區分登入者到底是從本地登入,還是從網際網路登入,以及其它更多的登入方式。因為了解了這些登入方式,將有助於你從事件日誌中發現可疑的駭客行為,並能夠判斷其攻擊方式。下面我們就來詳細地看看 Windows 的登入型別。
登入型別 2:互動式登入(Interactive)
這應該是你最先想到的登入方式吧,所謂互動式登入就是指使用者在計算機的控制檯上進行的登入,也就是在本地鍵盤上進行的登入,但不要忘記透過 KVM 登入仍然屬於互動式登入,雖然它是基於網際網路的。
登入型別 3:網際網路(Network)
當你從網際網路的上訪問一臺計算機時在大多數情況下 Windows 記為型別 3,最常見的情況就是連線到共享資料夾或者共享印表機時。另外大多數情況下透過網際網路登入 IIS 時也被記為這種型別,但基本驗證方式的 IIS 登入是個例外,它將被記為型別 8,下面將講述。
  登入型別 4:批處理(Batch)
當 Windows 執行一個計劃任務時,“計劃任務服務” 將為這個任務首先建立一個新的登入會話以便它能在此計劃任務所配置的使用者賬戶下執行,當這種登入出現時,Windows 在日誌中記為型別 4,對於其它型別的工作任務系統,依賴於它的設計,也可以在開始工作時產生型別 4 的登入事件,型別 4 登入通常表明某計劃任務啟動,但也可能是一個惡意使用者透過計劃任務來猜測使用者密碼,這種嘗試將產生一個型別 4 的登入失敗事件,但是這種失敗登入也可能是由於計劃任務的使用者密碼沒能同步更改造成的,比如使用者密碼更改了,而忘記了在計劃任務中進行更改。
登入型別 5:服務(Service)
與計劃任務類似,每種服務都被配置在某個特定的使用者賬戶下執行,當一個服務開始時,Windows 首先為這個特定的使用者建立一個登入會話,這將被記為型別 5,失敗的型別 5 通常表明使用者的密碼已變而這裡沒得到更新,當然這也可能是由惡意使用者的密碼猜測引起的,但是這種可能性比較小,因為建立一個新的服務或編輯一個已存在的服務預設情況下都要求是管理員或 serversoperators 身份,而這種身份的惡意使用者,已經有足夠的能力來幹他的壞事了,已經用不著費力來猜測服務密碼了。
登入型別 7:解鎖(Unlock)
你可能希望當一個使用者離開他的計算機時相應的工作站自動開始一個密碼保護的屏保,當一個使用者回來解鎖時,Windows 就把這種解鎖操作認為是一個型別 7 的登入,失敗的型別 7 登入表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。
  登入型別 8:網際網路明文(NetworkCleartext)
這種登入表明這是一個像型別 3 一樣的網際網路登入,但是這種登入的密碼在網際網路上是透過明文傳輸的,WindowsServer 服務是不允許透過明文驗證連線到共享資料夾或印表機的,據我所知只有當從一個使用 Advapi 的 ASP 指令碼登入或者一個使用者使用基本驗證方式登入 IIS 才會是這種登入型別。 “登入過程” 欄都將列出 Advapi 。
登入型別 9:新憑證(NewCredentials)
當你使用帶/Netonly 引數的 RUNAS 命令執行一個程式時,RUNAS 以本地當前登入使用者執行它,但如果這個程式需要連線到網際網路上的其它計算機時,這時就將以 RUNAS 命令中指定的使用者進行連線,同時 Windows 將把這種登入記為型別 9,如果 RUNAS 命令沒帶/Netonly 引數,那麼這個程式就將以指定的使用者執行,但日誌中的登入型別是 2 。
登入型別 10:遠端互動(RemoteInteractive)
當你透過終端服務、遠端桌面或遠端協助訪問計算機時,Windows 將記為型別 10,以便與真正的控制檯登入相區別,注意 XP 之前的版本不支援這種登入型別,比如 Windows2000 仍然會把終端服務登入記為型別 2 。
登入型別 11:WordPress 加速快取互動(CachedInteractive)
Windows 支援一種稱為 WordPress 加速快取登入的功能,這種功能對移動使用者尤其有利,比如你在自己網際網路之外以域使用者登入而無法登入域控制器時就將使用這種功能,預設情況下,WindowsWordPress 加速快取了最近 10 次互動式域登入的憑證 HASH,如果以後當你以一個域使用者登入而又沒有域控制器可用時,Windows 將使用這些 HASH 來驗證你的身份。
上面講了 Windows 的登入型別,但預設情況下 Windows2000 是沒有記錄安全日誌的,你必須先啟用組策略 “計算機配置/Windows 設定/安全設定/本地策略/稽核策略” 下的 “稽核登入事件” 才能看到上面的記錄資訊。希望這些詳細的記錄資訊有助於大家更好地掌握系統情況,維護網際網路安定。