知方号

知方号

Windows系统的ECS实例中安全审计日志简要说明<阿里云 ECS VNC 审计>

Windows系统的ECS实例中安全审计日志简要说明

指明发生的登录种类。常见种类及其代码说明:

2 - Interactive(交互式登录):

用户在本地键盘上,通过操作系统控制台(console)口进行的登录。但通过KVM(传统物理机房)或基于VNC的登录(比如云服务器ECS的管理终端),虽然是基于网络进行的登录,但也属于交互式登录。

3 - Network(通过网络访问系统):

用户或计算机通过网络进行的访问。最常见场景是连接到服务器的共享文件夹、共享打印机等共享资源。通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

4 - Batch(作为批处理作业启动):

当Windows运行一个计划任务时,“计划任务服务”将为该任务先创建一个新的登录会话,以便它能在此计划任务所配置的用户账户下运行。当这种登录出现时,Windows在日志中记为类型4。对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件。所以,类型4登录通常表明某计划任务的启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

5 - Service(由服务控制器启动的Windows服务):

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。所以,类型5登录通常标明某服务的启动。失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够权限而无需费力猜测服务密码了。

7 - Unlock(屏保解锁):

Windows屏保解锁操作被记录为一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

8 - NetworkCleartext(网络登录时使用明文凭据):

这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的。Windows Server服务(LanmanServer)是不允许通过明文验证连接到共享文件夹或打印机的。只有当从一个使用Advapi的ASP脚本登录,或者一个用户使用基本验证方式登录IIS时,才会被标记为这种登录类型。

9 - NewCredentials(使用/netonly选项时由RunAs使用):当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它。但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9。如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。

10 - RemoteInteractive(远程交互):

当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将登录类型记为类型10,以便与真正的控制台登录相区别,注意Windows XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。

11 - CachedInteractive(缓存交互):

Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能。默认情况下,Windows缓存了最近10 次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份,并记录登录类型为类型11。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至lizi9903@foxmail.com举报,一经查实,本站将立刻删除。