Windows 安全日志解析

1. Windows 登录类型

在基于 Windows 的计算机中,以多个登录类型之一处理所有身份验证,无论使用何种身份验证协议或身份验证程序。

类型2:交互式登录(Interactive)

所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录。此外还包含API调用RUNAS网络 KVM等方式。

在这种情况下,可以通过登录进程 == User32 判断是否是桌面登录。

类型3:网络(Network)

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件或者一般远程桌面连接时。

另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。

类型4:批处理 (Batch)

当Windows运行一个计划任务时,"计划任务服务"将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4。

类型5:服务 (Service)

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。

类型6:代理(Proxy)

不再支持

类型7:解锁(Unlock)

工作站进入事件:锁屏状态后,当用户尝试解锁时,Windows就把这种解锁操作认为是一个类型7的登录。

类型8:网络明文(NetworkCleartext)

密码明文传输的网络登录方式。通常情况下,只有IIS 基本身份验证和CredSSP使用这种方式。

类型9:新凭据(NewCredentials)

当使用带Netonly参数的RUNAS命令运行一个程序时,Windows将把这种登录记为类型9。

类型10:远程交互(RemoteInteractive)

当你通过终端服务、远程桌面或远程协助访问计算机,同时计算机配置了RDP Security Layer的情况下 ,Windows将记为类型10,否则将被记为类型3。

类型11:缓存交互(CachedInteractive)

当离线设备使用域用户登录时,Windows将使用缓存的交互式域登录的凭证HASH来验证你的身份,这种情况下将登录记为类型11。

类型12:缓存远程交互(CachedRemoteInteractive)

不详,推测与类型11类似,适用于远程桌面的离线登录。

类型13:缓存解锁(CachedUnlock)

不详,推测与类型7类似,适用于锁屏后的解锁。

管理工具和登录类型参考 - Windows Server | Microsoft Learn


2. 关键事件ID

事件4720:添加用户
已创建用户帐户。
使用者:
	******
新帐户:
	******
属性:
	******
附加信息:
	特权		-

关联事件:(4722) 启用新增用户;(4728) 向全局组添加用户;(4729) 向本地组添加用户

事件4726:删除用户
已删除用户帐户。
使用者:
	******
目标帐户:
	*******
附加信息:
	特权	

关联事件:(4733) 从本地组删除指定用户;(4729) 从全局组删除指定用户

事件4724:修改密码
试图重置帐户密码。
使用者:
	******
目标帐户:
	******

关联事件:(4738) 修改用户属性信息

事件4624:登录用户
已成功登录帐户。
使用者:
	******
================================== 成功
登录信息:
	******
模拟级别:		模拟
新登录:
	******
================================== 失败
登录类型:			2
登录失败的帐户:
	******
失败信息:
	失败原因:		未知用户名或密码错误。
	状态:			0xC000006D
	子状态:		0xC000006A
==================================
进程信息:
    ******
网络信息:
	******
详细的身份验证信息:
	******
事件4647/4634:注销用户
已注销帐户。
使用者:
	******
登录类型:			2

4634和4647都属于用户注销事件。区别在于,4647是用户主动注销后生成的事件,而4634则是由锁定等操作触发。

事件4740:用户锁定
已锁定用户帐户。
使用者:
	******
已锁定的帐户:
	******
附加信息:
	******
相关推荐
来一杯龙舌兰2 小时前
【MongoDB】Windows/Docker 下载安装,MongoDB Compass的基本使用、NoSQL、MongoDB的基础概念及基础用法(超详细)
windows·mongodb·docker·mongodb compass
XZHOUMIN2 小时前
网易博客旧文----开发常用工具和软件列表
windows
老猿讲编程2 小时前
安全关键型嵌入式系统设计模式整理及应用实例
安全·设计模式·iso26262·do178
棱镜七彩2 小时前
棱镜七彩参加“融易行”产融对接南京站项目路演活动 展示供应链安全创新成果
安全·软件供应链安全
漫途科技2 小时前
漫途焊机安全生产监管方案,提升安全生产管理水平!
物联网·安全
weixin_442643422 小时前
FileLink如何帮助医疗行业实现安全且高效的跨网文件交换
网络·安全·web安全·filelink跨网文件交换
huaqiwangan3 小时前
什么是安全威胁情报?
网络·安全
刘鑫磊up3 小时前
[Web安全 网络安全]-DoS(拒绝服务攻击)和DDoS(分布式拒绝服务攻击)
安全·web安全·ddos·dos攻击
Linux运维老纪4 小时前
K8s资源对象监控之kube-state-metrics详解(Detailed Explanation of Kube State Metrics)
网络·安全·云原生·容器·kubernetes·云计算·运维开发
runing_an_min5 小时前
windows运行ffmpeg的脚本报错:av_ts2str、av_ts2timestr、av_err2str => E0029 C4576
c++·windows·ffmpeg·e0029