如果你留意Windows系統(tǒng)的安全日志,在那些事件描述中你將會(huì)發(fā)現(xiàn)里面的“登錄類型”并非全部相同,難道除了在鍵盤上進(jìn)行交互式登錄之外還有其它類型嗎?不錯(cuò),Windows為了讓你從日志中獲得更多有價(jià)值的信息,它細(xì)分了很多種登錄類型,以便讓你區(qū)分登錄者到底是從本地登錄,還是從網(wǎng)絡(luò)登錄,以及其它更多的登錄方式。因?yàn)榱私饬诉@些登錄方式,將有助于你從事件日志中發(fā)現(xiàn)可疑的黑客行為,并能夠判斷其攻擊方式。下面我們就來(lái)詳細(xì)地看看Windows的登錄類型。
登錄類型2:交互式登錄(Interactive)
這應(yīng)該是你最先想到的登錄方式吧,所謂交互式登錄就是指用戶在計(jì)算機(jī)的控制臺(tái)上進(jìn)行的登錄,也就是在本地鍵盤上進(jìn)行的登錄,但不要忘記通過(guò)KVM登錄仍然屬于交互式登錄,雖然它是基于網(wǎng)絡(luò)的。
登錄類型3:網(wǎng)絡(luò)(Network)
當(dāng)你從網(wǎng)絡(luò)的上訪問(wèn)一臺(tái)計(jì)算機(jī)時(shí)在大多數(shù)情況下Windows記為類型3,最常見的情況就是連接到共享文件夾或者共享打印機(jī)時(shí)。另外大多數(shù)情況下通過(guò)網(wǎng)絡(luò)登錄IIS時(shí)也被記為這種類型,但基本驗(yàn)證方式的IIS登錄是個(gè)例外,它將被記為類型8,下面將講述。
登錄類型4:批處理(Batch)
當(dāng)Windows運(yùn)行一個(gè)計(jì)劃任務(wù)時(shí),“計(jì)劃任務(wù)服務(wù)”將為這個(gè)任務(wù)首先創(chuàng)建一個(gè)新的登錄會(huì)話以便它能在此計(jì)劃任務(wù)所配置的用戶賬戶下運(yùn)行,當(dāng)這種登錄出現(xiàn)時(shí),Windows在日志中記為類型4,對(duì)于其它類型的工作任務(wù)系統(tǒng),依賴于它的設(shè)計(jì),也可以在開始工作時(shí)產(chǎn)生類型4的登錄事件,類型4登錄通常表明某計(jì)劃任務(wù)啟動(dòng),但也可能是一個(gè)惡意用戶通過(guò)計(jì)劃任務(wù)來(lái)猜測(cè)用戶密碼,這種嘗試將產(chǎn)生一個(gè)類型4的登錄失敗事件,但是這種失敗登錄也可能是由于計(jì)劃任務(wù)的用戶密碼沒(méi)能同步更改造成的,比如用戶密碼更改了,而忘記了在計(jì)劃任務(wù)中進(jìn)行更改。
登錄類型5:服務(wù)(Service)
與計(jì)劃任務(wù)類似,每種服務(wù)都被配置在某個(gè)特定的用戶賬戶下運(yùn)行,當(dāng)一個(gè)服務(wù)開始時(shí),Windows首先為這個(gè)特定的用戶創(chuàng)建一個(gè)登錄會(huì)話,這將被記為類型5,失敗的類型5通常表明用戶的密碼已變而這里沒(méi)得到更新,當(dāng)然這也可能是由惡意用戶的密碼猜測(cè)引起的,但是這種可能性比較小,因?yàn)閯?chuàng)建一個(gè)新的服務(wù)或編輯一個(gè)已存在的服務(wù)默認(rèn)情況下都要求是管理員或servers operators身份,而這種身份的惡意用戶,已經(jīng)有足夠的能力來(lái)干他的壞事了,已經(jīng)用不著費(fèi)力來(lái)猜測(cè)服務(wù)密碼了。
登錄類型7:解鎖(Unlock)
你可能希望當(dāng)一個(gè)用戶離開他的計(jì)算機(jī)時(shí)相應(yīng)的工作站自動(dòng)開始一個(gè)密碼保護(hù)的屏保,當(dāng)一個(gè)用戶回來(lái)解鎖時(shí),Windows就把這種解鎖操作認(rèn)為是一個(gè)類型7的登錄,失敗的類型7登錄表明有人輸入了錯(cuò)誤的密碼或者有人在嘗試解鎖計(jì)算機(jī)。
