Sí, Windows le permite obtener más información valiosa de los registros. Subdivide una amplia variedad de tipos de inicio de sesión para que pueda distinguir si el usuario que inició sesión ha iniciado sesión localmente o desde Network
Iniciar sesión, y más. Conocer estos métodos de inicio de sesión lo ayudará a encontrar comportamientos sospechosos de piratas informáticos en el registro de eventos y podrá determinar cómo están atacando. Echemos un vistazo más de cerca al tipo de inicio de sesión de Windows.
Tipo de inicio de sesión 2: Inicio de sesión interactivo (interactivo)
Este debe ser su primer método de inicio de sesión. El llamado inicio de sesión interactivo significa que el usuario está en la consola de la computadora. El inicio de sesión se realiza, que es el inicio de sesión en el teclado local, pero no olvide que el inicio de sesión a través de KVM sigue siendo un inicio de sesión interactivo, aunque está basado en la web.
Tipo de inicio de sesión 3: Red
Cuando accede a una computadora desde la red, en la mayoría de los casos, Windows es de tipo 3, el caso más común es conectarse al recurso compartido. Cuando carpetas o compartes una impresora. En la mayoría de los casos, el inicio de sesión en IIS a través de la red también se indica como este tipo, pero el método de autenticación básico para el inicio de sesión de IIS es una excepción, se registrará como tipo 8, como se describe a continuación.
Tipo de inicio de sesión 4: Lote
Cuando Windows ejecuta una tarea programada, el Servicio de tareas programadas creará primero una nueva sesión de inicio de sesión para esta tarea, de modo que se pueda usar aquí. Ejecute la cuenta de usuario configurada por la tarea programada. Cuando se produce este inicio de sesión, Windows la registra como tipo 4 en el registro. Para otros tipos de sistemas de tareas de trabajo, dependiendo de su diseño, también puede generar el tipo 4 al iniciar el trabajo. Evento de inicio de sesión, el inicio de sesión de tipo 4 generalmente indica que se inició una tarea programada, pero también puede tratarse de un usuario malintencionado que adivina la contraseña de usuario a través de la tarea programada. La contraseña de usuario para la tarea programada no se sincronizó, como la contraseña de usuario cambiada y se olvidó de realizar cambios en la tarea programada.
Tipo de inicio de sesión 5: Servicio
Similar a las tareas programadas, cada servicio está configurado para ejecutarse bajo una cuenta de usuario específica. Cuando se inicia un servicio, Windows primero Este usuario en particular crea una sesión de inicio de sesión, que se registrará como tipo 5, y un tipo 5 fallido generalmente indica que la contraseña del usuario ha cambiado y no se ha actualizado aquí, aunque esto también puede deberse a la conjetura de la contraseña de un usuario malintencionado, pero La posibilidad es relativamente pequeña, porque crear un nuevo servicio o editar un servicio existente requiere la identidad del administrador o de los operadores del servidor de manera predeterminada, y el usuario malintencionado de esta identidad tiene la capacidad suficiente para hacer sus cosas malas. Ya no es necesario adivinar la contraseña de servicio.
Tipo de inicio de sesión 7: Desbloqueo
Es posible que desee que la estación de trabajo correspondiente inicie automáticamente un protector de pantalla protegido por contraseña cuando un usuario deja su computadora. Cuando un usuario vuelve a desbloquear, Windows Simplemente piense en esta operación de desbloqueo como un inicio de sesión de tipo 7, un inicio de sesión de tipo 7 fallido que indica que alguien ingresó la contraseña incorrecta o que alguien está intentando desbloquear la computadora.
Tipo de inicio de sesión 8: NetworkCleartext
Este inicio de sesión indica que se trata de un inicio de sesión de red como el Tipo 3, pero la contraseña para este inicio de sesión se transmite en texto sin cifrar a través de la red. El servicio de Windows Server no permite la conexión a carpetas o impresoras compartidas a través de la autenticación de texto sin formato. Por lo que sé, este tipo de inicio de sesión solo está disponible cuando se inicia sesión desde una secuencia de comandos ASP con Advapi o un usuario que inicia sesión en IIS mediante la autenticación básica. Advapi aparecerá en la columna "Proceso de inicio de sesión".
Tipo de inicio de sesión 9: NewCredentials
Cuando ejecuta un programa usando el comando RUNAS con el parámetro /Netonly, RUNAS lo ejecuta como el usuario local actual registrado, pero si este programa requiere Al conectarse a otras computadoras en la red, el usuario especificado en el comando RUNAS se conectará en este momento, y Windows registrará este inicio de sesión como tipo 9. Si el comando RUNAS no tiene el parámetro /Netonly, entonces el programa El usuario especificado se está ejecutando, pero el tipo de inicio de sesión en el registro es 2.
Tipo de inicio de sesión 10: remoto interactivo (RemoteInteractive)
Cuando accede a su computadora a través de Terminal Services, Escritorio remoto o Asistencia remota, Windows se registrará como tipo 10 para iniciar sesión con la consola real. Diferenciado, tenga en cuenta que la versión anterior de XP no admite este tipo de inicio de sesión. Por ejemplo, Windows 2000 seguirá registrando el inicio de sesión de Servicios de Terminal Server como tipo 2.
Tipo de inicio de sesión 11: interacción en caché (CachedInteractive)
Windows admite una función llamada inicio de sesión en caché, que es especialmente beneficiosa para los usuarios móviles, ya que está fuera de su propia red. Esta función se usa cuando un usuario inicia sesión y no puede iniciar sesión en el controlador de dominio. De manera predeterminada, Windows almacena en caché las credenciales de los últimos 10 inicios de sesión de dominio interactivos. Si inicia sesión como usuario de dominio más tarde, no habrá controladores de dominio disponibles. Windows utilizará estos HASH para verificar su identidad.
Lo anterior describe el tipo de inicio de sesión de Windows, pero de manera predeterminada, Windows 2000 no registra los registros de seguridad. Primero debe habilitar la Política de grupo en "Configuración del equipo /Configuración de Windows /Configuración de seguridad /Políticas locales /Políticas de auditoría" "Evento de inicio de sesión de auditoría" puede ver la información de registro anterior. Espero que estos registros detallados lo ayuden a comprender mejor el sistema y mantener la estabilidad de la red.
Siempre me gusta usar el maestro de optimización y otro software para optimizar mi sistema W
El modo seguro es el modo de diagnóstico de Windows. Cuando inicia su computadora en Modo se
Creo que muchos amigos novatos pensarán que la estrategia de grupo del sistema de Windows es
. El sistema operativo Windows de Microsoft debe ser familiar para todos, usamos la serie de product
Pruebe el invencible comando de reemplazo de XP
Mi secreto, no mires los ocho consejos secretos de Windows
Una buena manera de mantener ordenado tu escritorio de Windows
Windows XP SP2 versión 2126 para revelar el secreto
Función alternativa "Programación de tareas" de XP Space Mining
Herramientas de soporte del sistema operativo Win XP contacto completo
Fácil de obtener WinXP no puede iniciar sesión problema remoto
El uso alternativo del comando NetUser en el sistema de Win XP,
Resuelva a fondo el problema del uso excesivo de recursos de CPU
¿Cómo resolver el retardo de red del sistema Win7?
Win7 Academy: Propiedades del archivo de vista rápida
Win10 solicita "El administrador de sistema ha inhabilitado el administrador de tareas" solución
Win7 no puede ingresar al indicador del sistema ¿Se produjo un error de lectura del disco?
Uno de los tramposos de QQ: Cómo ver álbumes encriptados
La solución para IE11 no pudo abrir el sitio web local bajo el sistema win8