Si presta atención al registro de seguridad del sistema Windows, en la descripción del evento encontrará que el "tipo de inicio de sesión" no es el mismo, además del inicio de sesión interactivo en el teclado (tipo de inicio de sesión 1) ¿Hay otros tipos además?
Bueno, para que Windows obtenga más información valiosa de los registros, subdivide una amplia variedad de tipos de inicio de sesión para que pueda distinguir si el usuario que inició sesión está conectado localmente o desde la red. , y muchas más formas de iniciar sesión. Conocer estos métodos de inicio de sesión le ayudará a encontrar hacks sospechosos en el registro de eventos y podrá determinar cómo están atacando. Echemos un vistazo más de cerca al tipo de inicio de sesión de Windows.
Tipo de inicio de sesión 2: Inicio de sesión interactivo (interactivo)
Este debe ser su primer método de inicio de sesión. Los llamados medios de inicio de sesión interactivos El usuario inicia sesión en la consola de la computadora, que es el inicio de sesión en el teclado local, pero no olvide que el inicio de sesión a través de KVM sigue siendo un inicio de sesión interactivo, aunque está basado en la web.
Tipo de inicio de sesión 3: Red
Cuando accede a una computadora desde la red, en la mayoría de los casos se escribe Windows 3. La situación más común es cuando se conecta a una carpeta compartida o se comparte una impresora. En la mayoría de los casos, el inicio de sesión en IIS a través de la red también se indica como este tipo, pero el método de autenticación básico para el inicio de sesión de IIS es una excepción, se registrará como tipo 8, como se describe a continuación.
Tipo de inicio de sesión 4: Lote
Cuando Windows ejecuta una tarea programada, el Servicio de tareas programadas se creará primero para esta tarea. Una nueva sesión de inicio de sesión para que pueda ejecutarse bajo la cuenta de usuario configurada por esta tarea programada. Cuando se produce este inicio de sesión, Windows se registra como tipo 4 en el registro. Para otros tipos de sistemas de tareas de trabajo, dependiendo de su diseño, También puede generar eventos de inicio de sesión de tipo 4 cuando comienza a trabajar. Los inicios de sesión de tipo 4 generalmente indican que se inició una tarea programada, pero también es posible que un usuario malintencionado adivine la contraseña del usuario programando una tarea. Este intento generará un evento de error de inicio de sesión de tipo 4. Sin embargo, este tipo de inicio de sesión fallido también puede deberse a que la contraseña de usuario de la tarea programada no se modifique de forma síncrona, como la contraseña de usuario cambiada y el olvido de realizar cambios en la tarea programada.
Tipo de inicio de sesión 5: Servicio
Similar a las tareas programadas, cada servicio está configurado para ejecutarse bajo una cuenta de usuario específica. Cuando se inicia un servicio, Windows primero crea una sesión de inicio de sesión para este usuario en particular, que se registrará como tipo 5, y el tipo de falla 5 generalmente indica que la contraseña del usuario ha cambiado y no se actualiza aquí, aunque esto puede ser Adivinación de contraseña de usuario malintencionado, pero esta posibilidad es relativamente pequeña, ya que crear un nuevo servicio o editar un servicio existente requiere la identidad del administrador o del operador del servidor de forma predeterminada, y el usuario malintencionado de esta identidad ya lo ha hecho. Hay suficiente poder para hacer sus cosas malas, y ya no es necesario adivinar la contraseña de servicio.
Tipo de inicio de sesión 7: Desbloqueo
Es posible que desee que la estación de trabajo correspondiente inicie automáticamente una protección de contraseña cuando un usuario deja su computadora. El protector de pantalla, cuando un usuario vuelve a desbloquear, Windows considera que esta operación de desbloqueo es un inicio de sesión de tipo 7. Un inicio de sesión de tipo 7 fallido indica que alguien ingresó la contraseña incorrecta o alguien está tratando de desbloquear la computadora. Tr