Si presta atención al registro de seguridad del sistema de Windows, en la descripción del evento encontrará que el "tipo de inicio de sesión" no es el mismo, ¿hay algún otro tipo además del inicio de sesión interactivo en el teclado (tipo de inicio de sesión 1)? Lo es
Sí, para que Windows obtenga más información valiosa de los registros, subdivide una amplia variedad de tipos de inicio de sesión para que pueda distinguir si el usuario que inició sesión está registrado localmente o si ha iniciado sesión desde la red, y más. Método de inicio de sesión. Conocer estos métodos de inicio de sesión le ayudará a encontrar hacks sospechosos en el registro de eventos y podrá determinar cómo están atacando. Echemos un vistazo más de cerca al tipo de inicio de sesión de Windows.
Tipo de inicio de sesión 2: Inicio de sesión interactivo (interactivo)
Este debe ser su primer método de inicio de sesión. El denominado inicio de sesión interactivo se refiere al inicio de sesión que el usuario realiza en la consola de la computadora, es decir, en el teclado local. Inicie sesión, pero no olvide que el inicio de sesión a través de KVM sigue siendo un inicio de sesión interactivo, aunque se basa en la web.
Inicio de sesión Tipo 3: Red
Cuando accede a una computadora desde la red, en la mayoría de los casos, Windows es del tipo 3, el caso más común es cuando se conecta a una carpeta compartida o una impresora compartida. . En la mayoría de los casos, el inicio de sesión en IIS a través de la red también se indica como este tipo, pero el método de autenticación básico para el inicio de sesión de IIS es una excepción, se registrará como tipo 8, como se describe a continuación.
Tipo de inicio de sesión 4: Lote (lote)
Cuando Windows ejecuta una tarea programada, " Scheduled Task Service creará una nueva sesión de inicio de sesión para esta tarea, de modo que pueda configurarse en esta tarea programada. Ejecute bajo la cuenta de usuario. Cuando se produce este inicio de sesión, Windows se registra como tipo 4 en el registro. Para otros tipos de sistemas de tareas de trabajo, dependiendo de su diseño, también puede generar eventos de inicio de sesión de tipo 4 al iniciar el trabajo. 4 El inicio de sesión generalmente indica que se inició una tarea programada, pero también puede ser un usuario malintencionado que adivina la contraseña del usuario a través de una tarea programada. Este intento generará un evento de error de inicio de sesión de tipo 4, pero este inicio de sesión fallido también puede deberse al usuario de la tarea programada. La contraseña no se sincronizó, como la contraseña del usuario, y olvidé hacer cambios en la tarea programada.
Tipo de inicio de sesión 5: Servicio
Similar a las tareas programadas, cada servicio está configurado para ejecutarse bajo una cuenta de usuario específica. Cuando se inicia un servicio, Windows primero crea un usuario específico para este usuario en particular. En la sesión de inicio de sesión, esto se registrará como tipo 5, el tipo de fallo 5 generalmente indica que la contraseña del usuario ha cambiado y no se ha actualizado aquí, por supuesto, esto puede deberse a la conjetura de la contraseña del usuario malintencionado, pero esta posibilidad es relativamente pequeña. Debido a que crear un nuevo servicio o editar un servicio existente requiere un administrador o operadores de servidores de manera predeterminada, y un usuario malintencionado de esta identidad ya tiene la capacidad suficiente para hacer lo que es malo y no tiene necesidad de trabajar duro. Para adivinar la contraseña de servicio.