あなたがWindowsシステムのセキュリティログに注意を払う場合、イベントの説明では、「ログインタイプ」はキーボード上の対話型ログインに加えて、すべて同じではないことがわかります(ログインタイプ1)他の種類はありますか?
はい。Windowsがログからより有益な情報を取得するために、ログインユーザーがローカルでログインしているのか、ネットワークからログインしているのかなどを区別できるように、さまざまな種類のログインを細分化します。ログイン方法これらのログイン方法を知っていると、イベントログから疑わしいハッキングを見つけ、それらがどのように攻撃しているかを判断するのに役立ちます。 Windowsのログインタイプを詳しく見てみましょう。
ログインタイプ2:対話型ログイン(対話型)
これはあなたの最初のログイン方法であるべきですいわゆる対話型ログインとは、ユーザーがコンピュータのコンソール、つまりローカルキーボードで実行するログインを指します。ログインしますが、KVMを介したログインは対話型ログインであることを忘れないでください。ただし、Webベースです。
ログインタイプ3:ネットワーク
ネットワークからコンピュータにアクセスするとき、ほとんどの場合Windowsはタイプ3です。最も一般的なケースは共有フォルダまたは共有プリンタに接続するときです。 。ほとんどの場合、ネットワーク経由でのIISへのログインもこのタイプとして記載されていますが、IISログインの基本的な認証方法は例外です。これについては、後述のようにタイプ8として記録されます。
ログインタイプ4:バッチ(バッチ)
Windowsがスケジュールされたタスクを実行すると、スケジュールされたタスクでこのタスクの新しいログインセッションが作成されるので、スケジュールされたタスクで設定できます。このログインが発生すると、Windowsはログにタイプ4として記録されますが、その他のタイプの作業タスクシステムでは、デザインによっては、作業開始時にタイプ4のログインイベントも生成されることがあります。 4ログインは通常、スケジュールされたタスクが開始されたことを示しますが、スケジュールされたタスクを通じてユーザーのパスワードを推測している悪意のあるユーザーである可能性もあります。ユーザーのパスワードが変更されたなど、パスワードが同期されませんでした。スケジュールされたタスクを変更するのを忘れました。
ログインタイプ5:サービス
スケジュールされたタスクと同様に、各サービスは特定のユーザーアカウントで実行されるように構成されていますサービスが開始されると、Windowsはまずこの特定のユーザーに対して特定のユーザーを作成します。ログインセッション。これはタイプ5として記録されます。失敗タイプ5は通常、ユーザーのパスワードが変更され、ここでは更新されていないことを示します。もちろん、これは悪意のあるユーザーのパスワード推測によるものです。新しいサービスを作成したり、既存のサービスを編集するには、デフォルトで管理者またはサーバー管理者が必要であり、このIDの悪意のあるユーザーは、悪意のある行為をするのに十分な権限を既に持っています。サービスパスワードを推測します。