当前位置: 首页 > article >正文

Windows 安全日志解析

1. Windows 登录类型

在基于 Windows 的计算机中,以多个登录类型之一处理所有身份验证,无论使用何种身份验证协议或身份验证程序。

类型2:交互式登录(Interactive)

所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。此外还包含API调用RUNAS网络 KVM等方式。
在这种情况下,可以通过登录进程 == User32 判断是否是桌面登录。

类型3:网络(Network)

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件或者一般远程桌面连接时。
另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。

类型4:批处理 (Batch)

当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4。

类型5:服务 (Service)

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。

类型6:代理(Proxy)

不再支持

类型7:解锁(Unlock)

工作站进入事件:锁屏状态后,当用户尝试解锁时,Windows就把这种解锁操作认为是一个类型7的登录。

类型8:网络明文(NetworkCleartext)

密码明文传输的网络登录方式。通常情况下,只有IIS 基本身份验证和CredSSP使用这种方式。

类型9:新凭据(NewCredentials)

当使用带Netonly参数的RUNAS命令运行一个程序时,Windows将把这种登录记为类型9。

类型10:远程交互(RemoteInteractive)

当你通过终端服务、远程桌面或远程协助访问计算机,同时计算机配置了RDP Security Layer的情况下 ,Windows将记为类型10,否则将被记为类型3。

类型11:缓存交互(CachedInteractive)

当离线设备使用域用户登录时,Windows将使用缓存的交互式域登录的凭证HASH来验证你的身份,这种情况下将登录记为类型11。

类型12:缓存远程交互(CachedRemoteInteractive)

不详,推测与类型11类似,适用于远程桌面的离线登录。

类型13:缓存解锁(CachedUnlock)

不详,推测与类型7类似,适用于锁屏后的解锁。

管理工具和登录类型参考 - Windows Server | Microsoft Learn


2. 关键事件ID

事件4720:添加用户
已创建用户帐户。
使用者:
	******
新帐户:
	******
属性:
	******
附加信息:
	特权		-

关联事件:(4722) 启用新增用户;(4728) 向全局组添加用户;(4729) 向本地组添加用户

事件4726:删除用户
已删除用户帐户。
使用者:
	******
目标帐户:
	*******
附加信息:
	特权	

关联事件:(4733) 从本地组删除指定用户;(4729) 从全局组删除指定用户

事件4724:修改密码
试图重置帐户密码。
使用者:
	******
目标帐户:
	******

关联事件:(4738) 修改用户属性信息

事件4624:登录用户
已成功登录帐户。
使用者:
	******
================================== 成功
登录信息:
	******
模拟级别:		模拟
新登录:
	******
================================== 失败
登录类型:			2
登录失败的帐户:
	******
失败信息:
	失败原因:		未知用户名或密码错误。
	状态:			0xC000006D
	子状态:		0xC000006A
==================================
进程信息:
    ******
网络信息:
	******
详细的身份验证信息:
	******
事件4647/4634:注销用户
已注销帐户。
使用者:
	******
登录类型:			2

4634和4647都属于用户注销事件。区别在于,4647是用户主动注销后生成的事件,而4634则是由锁定等操作触发。

事件4740:用户锁定
已锁定用户帐户。
使用者:
	******
已锁定的帐户:
	******
附加信息:
	******

http://www.kler.cn/a/377578.html

相关文章:

  • 和为0的四元组-蛮力枚举(C语言实现)
  • SSM-SpringMVC-请求响应、REST、JSON
  • C++语言的并发编程
  • Docker Compose 启动 Harbor 并指定网络
  • 腾讯云AI代码助手-每日清单助手
  • 分享:osgb倾斜数据转cesium-3dtiles 小工具.
  • 飞桨首创 FlashMask :加速大模型灵活注意力掩码计算,长序列训练的利器
  • 程序的全生命周期
  • vue3 keep-alive简单说明
  • (转载)Tools for Learning LLVM TableGen
  • 随着飞行汽车的亮相,在环保方面有什么保护措施吗
  • 每天五分钟深度学习pytoroch:基于pytorch搭建逻辑回归算法模型
  • C/C++语言基础--C++模板与元编程系列二类模板、全特化、偏特化、编译模型简介、实现简单Vetctor等…………)
  • 2024最新精仿抖音直播软件源码
  • 从一到无穷大 #39:从 Vectorized Mode vs Code Gen 权衡特定场景执行引擎技术选型标准
  • vscode的一些使用心得
  • MySQL超大分页怎么优化处理?limit 1000000,10 和 limit 10区别?覆盖索引、面试题
  • Word2Vec——嵌入单词并显示图形
  • 【Python ASR 】模型对比 whisper 和 funasr
  • 从零开始的 vue项目部署到服务器详细步骤(vue项目build打包+nginx部署+配置ssl证书)
  • Maven(16)如何使用Maven创建一个新的项目?
  • [MySQL]DDL语句
  • 大模型在自动化渗透测试中的应用
  • MySQL 的 BETWEEN AND
  • 系统架构设计师-未来信息综合技术(2)
  • 【动手学电机驱动】 STM32-FOC(2)IHM03 电机控制套件介绍