0


Windows 安全日志解析

1. Windows 登录类型

在基于 Windows 的计算机中,以多个登录类型之一处理所有身份验证,无论使用何种身份验证协议或身份验证程序。

类型2:交互式登录(Interactive)

所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。此外还包含

API调用

RUNAS

网络 KVM

等方式。
在这种情况下,可以通过

登录进程 == User32 

判断是否是桌面登录。

类型3:网络(Network)

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件或者一般远程桌面连接时。
另外大多数情况下通过网络登录

IIS

时也被记为这种类型,但基本验证方式的

IIS

登录是个例外,它将被记为类型8,下面将讲述。

类型4:批处理 (Batch)

当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4。

类型5:服务 (Service)

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。

类型6:代理(Proxy)

不再支持

类型7:解锁(Unlock)

工作站进入事件:锁屏状态后,当用户尝试解锁时,Windows就把这种解锁操作认为是一个类型7的登录。

类型8:网络明文(NetworkCleartext)

密码明文传输的网络登录方式。通常情况下,只有

IIS

基本身份验证和

CredSSP

使用这种方式。

类型9:新凭据(NewCredentials)

当使用带

Netonly

参数的

RUNAS

命令运行一个程序时,Windows将把这种登录记为类型9。

类型10:远程交互(RemoteInteractive)

当你通过终端服务、远程桌面或远程协助访问计算机,同时计算机配置了

RDP Security Layer

的情况下 ,Windows将记为类型10,否则将被记为类型3。

类型11:缓存交互(CachedInteractive)

当离线设备使用域用户登录时,Windows将使用缓存的交互式域登录的凭证HASH来验证你的身份,这种情况下将登录记为类型11。

类型12:缓存远程交互(CachedRemoteInteractive)

不详,推测与类型11类似,适用于远程桌面的离线登录。

类型13:缓存解锁(CachedUnlock)

不详,推测与类型7类似,适用于锁屏后的解锁。

管理工具和登录类型参考 - Windows Server | Microsoft Learn


2. 关键事件ID

事件4720:添加用户
已创建用户帐户。
使用者:
    ******
新帐户:
    ******
属性:
    ******
附加信息:
    特权        -

关联事件:(4722) 启用新增用户;(4728) 向全局组添加用户;(4729) 向本地组添加用户

事件4726:删除用户
已删除用户帐户。
使用者:
    ******
目标帐户:
    *******
附加信息:
    特权    

关联事件:(4733) 从本地组删除指定用户;(4729) 从全局组删除指定用户

事件4724:修改密码
试图重置帐户密码。
使用者:
    ******
目标帐户:
    ******

关联事件:(4738) 修改用户属性信息

事件4624:登录用户
已成功登录帐户。
使用者:
    ******
================================== 成功
登录信息:
    ******
模拟级别:        模拟
新登录:
    ******
================================== 失败
登录类型:            2
登录失败的帐户:
    ******
失败信息:
    失败原因:        未知用户名或密码错误。
    状态:            0xC000006D
    子状态:        0xC000006A
==================================
进程信息:
    ******
网络信息:
    ******
详细的身份验证信息:
    ******
事件4647/4634:注销用户
已注销帐户。
使用者:
    ******
登录类型:            2

4634和4647都属于用户注销事件。区别在于,4647是用户主动注销后生成的事件,而4634则是由锁定等操作触发。

事件4740:用户锁定
已锁定用户帐户。
使用者:
    ******
已锁定的帐户:
    ******
附加信息:
    ******
标签: windows 安全

本文转载自: https://blog.csdn.net/qq_38933606/article/details/143331600
版权归原作者 摩尔の 所有, 如有侵权,请联系我们删除。

“Windows 安全日志解析”的评论:

还没有评论