日志中的秘密：Windows登录类型知多少

是的，为了让你从日志中获得更多有价值的信息，Windows细分了很多登录类型，让你可以分辨出登录的人是从本地登录还是从网络登录，以及其他登录方式。了解这些登录方式，有助于你从事件日志中发现可疑的黑客行为，判断其攻击方式。我们来详细看看Windows的登录类型。

登录类型2:交互式登录

这应该是你想到的第一种登录方式。所谓交互登录，是指用户在电脑的控制台上登录，也就是在本地键盘上登录。但是不要忘记KVM登录仍然是一个交互式登录，尽管它是基于网络的。

登录类型3:网络

当您从网络访问计算机时，Windows在大多数情况下被归类为类型3，最常见的情况是连接到共享文件夹或共享打印机。另外，大多数情况下，通过网络登录IIS时也会记录为这种类型，但IIS登录的基本认证方式是个例外，会记录为type 8，下面会介绍。

登录类型4:批处理

当Windows运行计划任务时，计划任务服务将首先为此任务创建一个新的登录会话，以便它可以在此计划任务配置的用户帐户下运行。当此登录发生时，Windows在日志中将其记录为类型4。对于其他类型的工作任务系统，根据其设计，它还可以在工作开始时生成一个type 4登录事件。4类登录通常表示启动了一个计划任务，但也可能是恶意用户通过计划任务猜出了用户的密码。这种尝试会导致类型4的登录失败，但这种失败也可能是由于未能同步更改计划任务的用户密码而导致的，例如，用户的密码更改后，在计划任务中忘记更改。

登录类型5:服务

与计划任务类似，每个服务都被配置为在特定的用户帐户下运行。当服务启动时，Windows首先为该特定用户创建一个登录会话，该会话将被记录为类型5。故障类型5通常表示用户的密码已经更改，但在这里没有更新。当然这也有可能是恶意用户的密码猜测造成的，但这种可能性比较小。因为创建一个新的服务或者编辑一个已有的服务，默认需要administrator或者serversoperators的身份，而拥有这个身份的恶意用户有足够的能力干他的坏事，所以不需要猜测服务密码。
登录类型7:解锁

当用户离开计算机时，您可能希望相应的工作站自动启动受密码保护的屏幕保护程序。当用户回来解锁时，Windows将此解锁操作视为type 7登录。失败的类型7登录表明有人输入了错误的密码或有人试图解锁计算机。

登录类型8: NetworkCleartext

这种登录表示这是一种类似于Type 3的网络登录，但是这种登录的密码是通过明文在网络上传输的。不允许WindowsServer服务通过明文身份验证连接到共享文件夹或打印机。据我所知，这种登录类型只有在使用Advapi从ASP脚本登录或者用户使用基本身份验证登录IIS时才会出现。Advapi将在“登录过程”列中列出。

登录类型9:新凭据

当您使用带有/Netonly参数的RUNAS命令运行程序时，RUNAS会以本地当前登录用户的身份运行该程序，但是如果该程序需要连接到网络上的其他计算机，它会与RUNAS命令中指定的用户进行连接，并且Windows会将该登录记录为类型9。如果RUNAS命令不采用/Netonly参数，程序将使用指定的用户运行，但是日志中的登录类型是2。

登录类型10:远程交互

当您通过终端服务、远程桌面或远程协助访问计算机时，Windows会将其记录为type 10，以区别于真正的控制台登录。请注意，XP之前的版本不支持此登录类型。例如，Windows2000仍然将终端服务登录记录为类型2。

登录类型11: CachedInteractive

Windows支持一个叫缓存登录的功能，对移动用户特别有利。例如，当您作为域用户在您自己的网络之外登录并且无法登录到域控制器时，您将使用此功能。默认情况下，Windows缓存最近10次交互式域登录的凭据哈希。如果您作为域用户登录，并且将来没有域控制器可用，Windows将使用这些哈希来验证您的身份。

Windows的登录类型如上所述，但默认情况下，Windows2000不记录安全日志。您必须在组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下启用“审核登录事件”，才能看到上面记录的信息。希望这些详细的记录能帮助你更好的了解系统情况，维护网络的稳定性。