Si presta atención al registro de seguridad del sistema Windows, en la descripción del evento encontrará que el "tipo de inicio de sesión" no es el mismo, además del inicio de sesión interactivo en el teclado (tipo de inicio de sesión) 1) ¿Hay otros tipos además?
Sí, Windows le permiten obtener una información más valiosa desde el registro, se descompone la variedad tipo de inicio de sesión, por lo que a distinguir entre los solicitantes de registro al final es iniciar una sesión local, o desde la red Iniciar sesión, y más. Conocer estos métodos de inicio de sesión le ayudará a encontrar hacks sospechosos en el registro de eventos y podrá determinar cómo están atacando. Echemos un vistazo más de cerca al tipo de inicio de sesión de Windows.
Tipo de inicio de sesión 2: Inicio de sesión interactivo (interactivo)
Este debe ser su primer método de inicio de sesión. El llamado inicio de sesión interactivo significa que el usuario está en la consola de la computadora. El inicio de sesión se realiza, que es el inicio de sesión en el teclado local, pero no olvide que el inicio de sesión a través de KVM sigue siendo un inicio de sesión interactivo, aunque está basado en la web.
Tipo de inicio de sesión 3: Red
Cuando accede a una computadora desde la red, en la mayoría de los casos, Windows es de tipo 3, el caso más común es conectarse al recurso compartido. Cuando carpetas o compartes una impresora. En la mayoría de los casos, el inicio de sesión en IIS a través de la red también se indica como este tipo, pero el método de autenticación básico para el inicio de sesión de IIS es una excepción, se registrará como tipo 8, como se describe a continuación.
Tipo de inicio de sesión 4: Lote
Cuando Windows ejecuta una tarea programada, el Servicio de tareas programadas creará primero una nueva sesión de inicio de sesión para esta tarea, de modo que se pueda usar aquí. Ejecute la cuenta de usuario configurada por la tarea programada. Cuando se produce este inicio de sesión, Windows la registra como tipo 4 en el registro. Para otros tipos de sistemas de tareas de trabajo, dependiendo de su diseño, también puede generar el tipo 4 al iniciar el trabajo. Evento de inicio de sesión, el inicio de sesión de tipo 4 generalmente indica que se inició una tarea programada, pero también puede tratarse de un usuario malintencionado que adivina la contraseña de usuario a través de la tarea programada. La contraseña de usuario para la tarea programada no se sincronizó, como la contraseña de usuario cambiada y se olvidó de realizar cambios en la tarea programada.
Tipo de inicio de sesión 5: Servicio
Similar a las tareas programadas, cada servicio está configurado para ejecutarse bajo una cuenta de usuario específica. Cuando se inicia un servicio, Windows primero Este usuario en particular crea una sesión de inicio de sesión, que se registrará como tipo 5, y un tipo 5 fallido generalmente indica que la contraseña del usuario ha cambiado y no se ha actualizado aquí, aunque esto también puede deberse a la conjetura de la contraseña de un usuario malintencionado, pero La posibilidad es relativamente pequeña, porque crear un nuevo servicio o editar un servicio existente requiere la identidad del administrador o de los operadores del servidor de manera predeterminada, y el usuario malintencionado de esta identidad tiene la capacidad suficiente para hacer sus cosas malas. Ya no es necesario adivinar la contraseña de servicio.
Tipo de inicio de sesión 7: Desbloqueo
Es posible que desee que la estación de trabajo correspondiente inicie automáticamente un protector de pantalla protegido por contraseña cuando un usuario deja su computadora. Cuando un usuario vuelve a desbloquear, Windows Simplemente piense en esta operación de desbloqueo como un inicio de sesión de tipo 7, un inicio de sesión de tipo 7 fallido que indica que alguien ingresó la contraseña incorrecta o que alguien está intentando desbloquear la computadora.
Tipo de inicio de sesión 8: NetworkCleartext
Este inicio de sesión indica que se trata de un inicio de sesión de red como el Tipo 3, pero la contraseña para este inicio de sesión se transmite en texto sin cifrar a través de la red. El servicio de Windows Server no permite la conexión a carpetas o impresoras compartidas a través de la autenticación de texto sin formato. Por lo que sé, este tipo de inicio de sesión solo está disponible cuando se inicia sesión desde una secuencia de comandos ASP con Advapi o un usuario que inicia sesión en IIS mediante la autenticación básica. Advapi aparecerá en la columna "Proceso de inicio de sesión".
Tipo de inicio de sesión 9: NewCredentials
Cuando ejecuta un programa usando el comando RUNAS con el parámetro /Netonly, RUNAS lo ejecuta como el usuario local actual registrado, pero si este programa requiere Al conectarse a otras computadoras en la red, el usuario especificado en el comando RUNAS se conectará en este momento, y Windows registrará este inicio de sesión como tipo 9. Si el comando RUNAS no tiene el parámetro /Netonly, entonces el programa El usuario especificado se está ejecutando, pero el tipo de inicio de sesión en el registro es 2.
Tipo de inicio de sesión 10: remoto interactivo (RemoteInteractive)
Cuando accede a su computadora a través de Terminal Services, Escritorio remoto o Asistencia remota, Windows se registrará como tipo 10 para iniciar sesión con la consola real. Diferenciado, tenga en cuenta que la versión anterior de XP no admite este tipo de inicio de sesión. Por ejemplo, Windows 2000 seguirá registrando el inicio de sesión de Servicios de Terminal Server como tipo 2.
Tipo de inicio de sesión 11: interacción en caché (CachedInteractive)
Windows admite una función llamada inicio de sesión en caché, que es especialmente beneficiosa para los usuarios móviles, ya que está fuera de su propia red. Esta función se usa cuando un usuario inicia sesión y no puede iniciar sesión en el controlador de dominio. De manera predeterminada, Windows almacena en caché las credenciales de los últimos 10 inicios de sesión de dominio interactivos. Si inicia sesión como usuario de dominio más tarde, no habrá controladores de dominio disponibles. Windows utilizará estos HASH para verificar su identidad.
Lo anterior describe el tipo de inicio de sesión de Windows, pero de manera predeterminada, Windows 2000 no registra los registros de seguridad. Primero debe habilitar la Política de grupo en "Configuración del equipo /Configuración de Windows /Configuración de seguridad /Políticas locales /Políticas de auditoría" "Evento de inicio de sesión de auditoría" puede ver la información de registro anterior. Espero que estos registros detallados lo ayuden a comprender mejor el sistema y mantener la estabilidad de la red.
Recientemente, algunos usuarios han encontrado algo extraño al usar la computadora del sistema XP. E
¿Cómo estableciste una contraseña para Windows XP? Cree una contraseña solo en el Panel de control →
Cuando se usa una computadora portátil para conectarse a una red inalámbrica, de repente, la red ina
Todo el mundo sabe que Windows usa la tecla de Windows + la tecla R para abrir el cuadro de diálogo
Cómo mejorar la velocidad de transferencia del disco U bajo el sistema XP
Programa de dibujo de Windows para dibujar píxel niña avatar (2)
archivo de imagen de Windows XP para que pequeño fragmento de
¿Cómo configura el sistema XP el tamaño de fuente de una página web?
¿Qué sucede si el dispositivo USB falla en Windows XP?
Windows Image Threat (IFEO) Síntomas y prevención
Si olvida la contraseña del sistema de Windows XP, enséñele a recuperar
El sistema XP no se puede instalar correctamente. ¿Cómo resolver .net?
Rellene rápidamente los parámetros IP. Hay un truco.
paquete de instalación de Windows Live no puedo criticar
La solución a la desaparición de la red inalámbrica después de actualizar la lista
Se produjo un error al descifrar en la bandeja de entrada de Foxmail
Uso flexible de la tecla de tabulación en el sistema de Windows La tecla de tabulación
Cómo abrir la carpeta de inicio en el sistema Win10 no se puede encontrar
Windows 8.1 Actualización de accesos directos exclusivos gran inventario
Prohibir a los "amigos" para ver su círculo de amigos de WeChat
Cómo aumentar la velocidad de apertura del navegador IE en el sistema win7
La aspiradora para computadora solo puede comprar 29.9, ¿es dañina para la computadora?
El software del paquete NSIS no puede crear accesos directos en win7, etc.