Windowsシステムのセキュリティログに注目すると、イベントの説明にある「ログインの種類」がすべて同じではないことがわかりますが、キーボードでの対話型ログイン以外の種類はありますか。はい。Windowsがログからより有益な情報を取得するために、ログインユーザーがローカルでログインしているのか、ネットワークからログインしているのかなどを区別できるように、さまざまなログインタイプを分類します。 。これらのログイン方法を知っていると、イベントログから疑わしいハッキングを見つけ、それらがどのように攻撃しているかを判断するのに役立ちます。 Windowsのログインタイプを詳しく見てみましょう。ログインタイプ2:対話型ログイン(対話型)これはあなたの最初のログイン方法であるべきですいわゆる対話型ログインとは、ユーザがコンピュータのコンソールで実行するログイン、つまりローカルキーボードでのログインのことです。 Webベースですが、KVMを介したログインは依然として対話型ログインであることを忘れないでください。ログインタイプ3:ネットワークネットワークからコンピュータにアクセスするとき、ほとんどの場合Windowsはタイプ3です。最も一般的なケースは、共有フォルダまたは共有プリンタに接続するときです。ほとんどの場合、ネットワーク経由でのIISへのログインもこのタイプとして記載されていますが、IISログインの基本的な認証方法は例外です。これについては、後述のようにタイプ8として記録されます。ログインの種類4:バッチWindowsがスケジュールされたタスクを実行すると、スケジュールされたタスクサービスは、このタスクに対して設定されたユーザーアカウントで実行できるように、このタスクに対する新しいログインセッションを最初に作成します。ログインが発生すると、Windowsはログにタイプ4として記録されます他のタイプの作業タスクシステムでは、デザインによっては、作業開始時にタイプ4ログインイベントも生成されることがあります。この試みはタイプ4のログイン失敗イベントを生成しますが、この失敗したログインは、スケジュールされたタスクのユーザーパスワードが同期されていないことによっても発生する可能性があります。たとえば、ユーザーパスワードが変更され、スケジュールされたタスクに変更を加えるのを忘れました。ログインの種類5:サービスはスケジュールされたタスクに似ています各サービスは特定のユーザーアカウントで実行するように構成されていますサービスが開始されると、Windowsはまずこの特定のユーザーのログインセッションを作成します。タイプ5と呼ばれ、失敗5のタイプは通常、ユーザーのパスワードを示して新しいサービスを作成するので、これはまた、悪意のあるユーザーのパスワード推測の原因によって引き起こされるかもしれないが、この可能性は比較的小さいと、変更されていると、ここで更新されていない、もちろん、または、既存のサービスを編集するには、デフォルトで管理者またはサーバーのオペレータが必要です。このIDの悪意のあるユーザーは、悪意のある行為を実行するのに十分な権限をすでに持っており、サービスパスワードを推測する必要はありません。 。ログインの種類7:ロック解除ユーザーが自分のコンピュータを離れるときに、対応するワークステーションに自動的にパスワードで保護されたスクリーンセーバーを起動させることができますユーザーがロック解除に戻ると、Windowsはロック解除操作をタイプ7と見なします。ログイン、失敗したタイプ7ログインは、誰かが間違ったパスワードを入力したか、誰かがコンピューターのロックを解除しようとしていることを示します。 Login type 8:NetworkCleartextこのログインは、これがタイプ3のようなネットワークログインであることを示しますが、このログインのパスワードはネットワーク上でクリアテキストで送信され、Windows Serverサービスはプレーンテキスト認証によるアクセスを許可されません。私の知る限りでは、共有フォルダまたは共有プリンタは、Advapiを使用してASPスクリプトからログインする場合、または基本認証を使用してIISにログインするユーザーの場合にのみ使用できます。 Advapiが[ログインプロセス]列に表示されます。ログインの種類9:NewCredentials /Netonlyパラメーターを指定したRUNASコマンドを使用してプログラムを実行すると、RUNASはそれをローカルの現在のログインユーザーとして実行しますが、プログラムがネットワーク上の他のコンピューターに接続する必要がある場合runasコマンドは、/netonlyパラメーターを持っていなかった場合は、その後、プログラムは指定されたユーザーを実行しますが、ログオンの種類があるログに記録するようWindowsがこのログオンタイプ9を覚えているだろうしながら、RUNASは、ユーザーがコマンドを接続する指定しました2。ログオンの種類10:リモートインタラクティブ(RemoteInteractive)あなたがコンピュータにアクセスするには、ターミナルサービス、リモートデスクトップやリモートアシスタンスている場合、Windowsは実際の位相差とをコンソールログオンするために、タイプ10として記録されます、XPのバージョンに注意しては前にこれをサポートしていません。 Windows 2000などのログインタイプは、ターミナルサービスのログインをタイプ2として記憶しています。ログオンの種類11:キャッシュの相互作用(CachedInteractive)Windowsがでキャッシュされたログと呼ばれる機能をサポートしています。この機能は、自分のネットワークの外部ドメインユーザーがドメインコントローラがログインに使用することができないとしてログインするようにモバイルユーザーにとって特に有利です。この機能は、デフォルトでWindowsが最新の10個の対話型ドメインログインの資格情報をキャッシュしますドメインユーザーとしてログインし、ドメインコントローラーが利用できない場合、WindowsはこれらのHASHを使用して身元を確認します。 。上記ではWindowsのログインの種類について説明していますが、デフォルトではWindows 2000はセキュリティログを記録しませんグループポリシーの[コンピュータの構成] - [Windowsの設定] - [セキュリティの設定] - [ローカルポリシー] - [監査ポリシー]で[監査ログインイベント]を有効にする必要があります。上記の記録情報を見るために。これらの詳細な記録が、システムをよりよく理解し、ネットワークの安定性を維持するのに役立つことを願います。