Si presta atención a los registros de seguridad de los sistemas Windows, encontrará que los "tipos de inicio de sesión" en las descripciones de los eventos no son todos iguales. ¿Hay algún otro tipo además de inicio de sesión interactivo en el teclado? Sí, Windows le permite obtener más información valiosa de los registros. Se subdivide una gran variedad de tipos de inicio de sesión para que pueda distinguir si el usuario que inició sesión está conectado localmente o si ha iniciado sesión desde la red, y más. . Conocer estos métodos de inicio de sesión le ayudará a encontrar hacks sospechosos en el registro de eventos y podrá determinar cómo están atacando. Echemos un vistazo más de cerca al tipo de inicio de sesión de Windows. Tipo de inicio de sesión 2: Inicio de sesión interactivo (interactivo) Este debe ser su primer método de inicio de sesión. El denominado inicio de sesión interactivo se refiere al inicio de sesión que el usuario realiza en la consola de la computadora, es decir, el inicio de sesión en el teclado local, pero No olvide que el inicio de sesión a través de KVM sigue siendo un inicio de sesión interactivo, aunque se basa en la web. Inicio de sesión Tipo 3: Red Cuando accede a una computadora desde la red, en la mayoría de los casos, Windows es del tipo 3, el caso más común es cuando se conecta a una carpeta compartida o una impresora compartida. En la mayoría de los casos, el inicio de sesión en IIS a través de la red también se indica como este tipo, pero el método de autenticación básico para el inicio de sesión de IIS es una excepción, se registrará como tipo 8, como se describe a continuación. Tipo de inicio de sesión 4: Lote Cuando Windows ejecuta una tarea programada, el Servicio de tareas programadas creará primero una nueva sesión de inicio de sesión para esta tarea, de modo que pueda ejecutarse bajo la cuenta de usuario configurada para esta tarea programada. Cuando se produce un inicio de sesión, Windows se registra como tipo 4 en el registro. Para otros tipos de sistemas de tareas de trabajo, dependiendo de su diseño, también puede generar eventos de inicio de sesión de tipo 4 al iniciar el trabajo. El inicio de sesión de tipo 4 generalmente indica que se inició una tarea programada. , pero también puede ser un usuario malintencionado que adivina la contraseña del usuario a través de una tarea programada. Este intento generará un evento de error de inicio de sesión de tipo 4, pero este inicio de sesión fallido también puede deberse a que la contraseña de usuario de la tarea programada no se sincronice. Por ejemplo, la contraseña del usuario ha cambiado y olvidé realizar cambios en la tarea programada. Tipo de inicio de sesión 5: el servicio es similar a las tareas programadas. Cada servicio se configura para ejecutarse con una cuenta de usuario específica. Cuando se inicia un servicio, Windows crea primero una sesión de inicio de sesión para este usuario en particular. Registrado como tipo 5, el tipo 5 fallado generalmente indica que la contraseña del usuario ha cambiado y no se ha actualizado aquí. Por supuesto, esto puede deberse a la conjetura de la contraseña del usuario malintencionado, pero esta posibilidad es relativamente pequeña porque se crea un nuevo servicio. O editar un servicio existente requiere un administrador o operadores de servidores de forma predeterminada, y un usuario malintencionado de esta identidad ya tiene la capacidad suficiente para hacer algo malo y no necesita adivinar la contraseña del servicio. . Tipo de inicio de sesión 7: Desbloqueo Es posible que desee que la estación de trabajo correspondiente inicie automáticamente un protector de pantalla protegido por contraseña cuando el usuario deja su computadora. Cuando un usuario vuelve a desbloquear, Windows considera que la operación de desbloqueo es de tipo 7 Inicio de sesión, tipo de inicio de sesión 7 fallido indica que alguien ingresó la contraseña incorrecta o alguien está intentando desbloquear la computadora. Tipo de inicio de sesión 8: NetworkCleartext Este inicio de sesión indica que se trata de un inicio de sesión de red como el Tipo 3, pero la contraseña para este inicio de sesión se transmite en texto sin cifrar a través de la red. El servicio de Windows Server no está autorizado a conectarse mediante la autenticación de texto simple. Las carpetas o impresoras compartidas, que yo sepa, solo pueden ser este tipo de inicio de sesión cuando se inicia sesión desde un script ASP utilizando Advapi o un usuario que inicia sesión en IIS utilizando la autenticación básica. Advapi aparecerá en la columna "Proceso de inicio de sesión". Tipo de inicio de sesión 9: NewCredentials Cuando ejecuta un programa usando el comando RUNAS con el parámetro /Netonly, RUNAS lo ejecuta como el usuario local actual registrado, pero si el programa necesita conectarse a otras computadoras en la red, entonces El usuario especificado en el comando RUNAS se conectará, y Windows registrará este inicio de sesión como tipo 9. Si el comando RUNAS no tiene el parámetro /Netonly, el programa se ejecutará como el usuario especificado, pero el tipo de inicio de sesión en el registro es 2. Tipo de inicio de sesión 10: RemoteInteractive Cuando accede a una computadora a través de Terminal Services, Remote Desktop o Remote Assistance, Windows se escribirá como Tipo 10 para distinguirlo de un inicio de sesión de consola real. Tenga en cuenta que las versiones anteriores a XP no lo admiten. El tipo de inicio de sesión, como Windows 2000, todavía recuerda el inicio de sesión de Servicios de Terminal Server como tipo 2. Tipo de inicio de sesión 11: interacción en caché (CachedInteractive) Windows admite una función llamada inicio de sesión en caché. Esta característica es especialmente beneficiosa para los usuarios móviles. Por ejemplo, si inicia sesión como usuario de dominio fuera de su propia red y no puede iniciar sesión en el controlador de dominio, lo utilizará. Esta característica, de forma predeterminada, Windows almacena en caché las credenciales de los últimos 10 inicios de sesión de dominio interactivos. Si inicia sesión como usuario de dominio y no hay un controlador de dominio disponible, Windows utilizará estos HASH para verificar su identidad. . Lo anterior describe el tipo de inicio de sesión de Windows, pero de forma predeterminada, Windows 2000 no registra el registro de seguridad. Primero debe habilitar el "Evento de inicio de sesión de auditoría" en la Política de grupo "Configuración del equipo /Configuración de Windows /Configuración de seguridad /Políticas locales /Política de auditoría". Para ver la información del registro anterior. Espero que estos registros detallados lo ayuden a comprender mejor el sistema y mantener la estabilidad de la red.