あなたがWindowsシステムのセキュリティログに注意を払う場合、イベントの説明で、あなたはキーボードでの対話型ログインに加えて "login type"がすべて同じではないことがわかります(ログインタイプ1)他にもありますか?
Windowsがログからより有益な情報を取得するために、ログインしているユーザがローカルでログインしているのかネットワークからログインしているのかを区別できるように、さまざまなログインタイプを分類します。そして、もっとたくさんのログイン方法があります。これらのログイン方法を知っていると、イベントログから疑わしいハッキングを見つけ、それらがどのように攻撃しているかを判断するのに役立ちます。 Windowsのログインタイプを詳しく見てみましょう。
ログインタイプ2:対話型ログイン(対話型)
これがあなたの最初のログイン方法であるはずです。ユーザーはローカルキーボードのログインであるコンピュータのコンソールにログインしますが、Webベースではありますが、KVMによるログインは依然として対話型ログインであることを忘れないでください。
ログインタイプ3:ネットワーク
ネットワークからコンピュータにアクセスすると、ほとんどの場合Windowsが入力されます。 3.最も一般的な状況は、共有フォルダに接続するとき、またはプリンタを共有するときです。ほとんどの場合、ネットワーク経由でのIISへのログインもこのタイプとして記載されていますが、IISログインの基本的な認証方法は例外です。これについては、後述のようにタイプ8として記録されます。
ログインタイプ4:バッチ
Windowsがスケジュールされたタスクを実行すると、最初にこのタスクに対してScheduled Task Serviceが作成されます。このスケジュールされたタスクで設定されたユーザーアカウントで実行できるようにするための新しいログインセッションこのログインが発生すると、Windowsはログにタイプ4として記録されます。通常、タイプ4ログインはスケジュールされたタスクが開始されたことを示しますが、悪意のあるユーザがタスクをスケジュールしてユーザのパスワードを推測する可能性もあり、この場合はタイプ4ログイン失敗イベントが生成されます。しかしながら、この種のログイン失敗はまた、スケジュールされたタスクのユーザパスワードが同期的に変更されず、例えばユーザパスワードが変更され、スケジュールされたタスクに変更を加えるのを忘れることによっても引き起こされ得る。
ログインタイプ5:サービス
スケジュールされたタスクと同様に、各サービスは特定のユーザーアカウントで実行されるように設定されています。サービスが開始されると、Windowsはまずこの特定のユーザーのログインセッションを作成します。これはタイプ5として記録されます。失敗タイプ5は通常、ユーザーのパスワードが変更されて更新されていないことを示します。悪意のあるユーザーのパスワードを推測しますが、新しいサービスの作成または既存のサービスの編集にはデフォルトで管理者またはサーバーの管理者のIDが必要であり、このIDの悪意のあるユーザーにはすでに必要です。彼の悪いことをするのに十分な力があります、そしてそれはもはやサービスパスワードを推測する必要はありません。
ログインタイプ7:ロック解除
ユーザが自分のコンピュータを離れると、対応するワークステーションに自動的にパスワード保護を開始させることができます。ユーザーがロック解除に戻ったとき、Windowsはこのロック解除操作をタイプ7ログインと見なし、タイプ7ログインが失敗した場合は、誰かが間違ったパスワードを入力したか、誰かがコンピュータのロックを解除しようとしています。 Tr