ログからログのログインタイプを見てください（a）

Windowsシステムのセキュリティログに注目すると、これらのイベントの説明の中で、キーボードを除いて「ログインタイプ」はまったく同じではないことがわかります。対話型ログイン（ログインタイプ1）以外に他のタイプはありますか？

はい、Windowsではログからより有益な情報を取得できますログインしたユーザーがローカルでログインしているのかネットワークからログインしているのかを区別できるように、さまざまな種類のログインを細分化します。他のログイン方法これらのログイン方法を知っていると、イベントログから疑わしいハッキングを見つけ、それらがどのように攻撃しているかを判断するのに役立ちます。 Windowsのログインタイプを詳しく見てみましょう。

ログインの種類2：対話型ログイン（対話型）

いわゆる対話型ログインとは、ユーザーがコンピュータのコンソールで実行するログインのことです。つまり、ログインはローカルキーボードで行われますが、Webベースではありますが、KVMを介したログインは依然として対話型ログインであることを忘れないでください。

ログインタイプ3：ネットワーク

ネットワークからコンピュータにアクセスするとき、ほとんどの場合Windowsはタイプ3です。最も一般的なケースは共有に接続することです。プリンタをフォルダに入れるときや共有するとき。ほとんどの場合、ネットワーク経由でのIISへのログインもこのタイプとして記載されていますが、IISログインの基本的な認証方法は例外です。これについては、後述のようにタイプ8として記録されます。

ログインの種類4：バッチ（バッチ）

Windowsがスケジュールされたタスクを実行すると、スケジュールされたタスクサービスがこのタスクのための新しいログインセッションを作成します。このログインが発生すると、Windowsはログにタイプ4として記録されますが、その他のタイプの作業タスクシステムでは、デザインによっては、作業開始時にタイプが生成されることもあります。 4ログインイベント、タイプ4ログインは通常、スケジュールされたタスクが開始されたことを示しますが、スケジュールされたタスクを通じてユーザパスワードを推測している悪意のあるユーザである可能性もあります。これは、ユーザーパスワードが変更されたなど、スケジュールされたタスクのユーザーパスワードが同期的に変更されず、スケジュールされたタスクに変更を加えるのを忘れたためです。

ログインの種類5：サービス

スケジュールされたタスクと同様に、各サービスは特定のユーザーアカウントで実行されるように設定されています。この特定のユーザーは、タイプ5として記録されるログインセッションを作成します。タイプ5の失敗は、通常、ユーザーのパスワードが変更され、ここでは更新されないことを示します。新しいサービスを作成したり既存のサービスを編集したりするには、デフォルトで管理者またはサーバー管理者のIDが必要であり、悪意のあるユーザーがこの悪意のあることを実行するのに十分な権限を持っているためです。サービスパスワードを推測する必要はもうありません。

ログオンの種類7：自動的に、ユーザーが自分のコンピュータを離れたときにあなたがしたいことがあり、パスワードで保護されたスクリーンセーバーのロック解除（アンロック）

対応のワークステーションを開始ユーザーがロック解除に戻ったとき、Windowsはこのロック解除操作をタイプ7ログインと見なし、タイプ7ログインが失敗した場合は、誰かが間違ったパスワードを入力したか、誰かがコンピュータのロックを解除しようとしています。

ログインタイプ8：NetworkCleartext

このログインは、これがタイプ3のようなネットワークログインであることを示していますが、このログインのパスワードはネットワークを介してクリアテキストで送信されます。 Windows Serverサービスでは、プレーンテキスト認証による共有フォルダまたはプリンタへの接続は許可されていませんが、Advapiを使用してASPスクリプトからログインする場合、または基本認証を使用してIISにログインする場合にのみ使用できます。 Advapiは[ログインプロセス]列に表示されます。

ログインタイプ9：NewCredentials

/Netonlyパラメータを指定してRUNASコマンドを使用してプログラムを実行すると、RUNASはローカルの現在ログインしているユーザーとしてそのプログラムを実行しますが、このプログラムでは必要です。ネットワーク上の他のコンピュータに接続するときは、RUNASコマンドで指定されたユーザーがこの時点で接続され、Windowsはこのログインをタイプ9として記録します。RUNASコマンドに/Netonlyパラメータがない場合、プログラムは指定されたユーザーは実行中ですが、ログ内のログイン・タイプは2です。

ログインタイプ10：リモートインタラクティブ（RemoteInteractive）

ターミナルサービス、リモートデスクトップ、またはリモートアシスタンスを介してコンピュータにアクセスすると、Windowsはタイプ10としてログインし、実際のコンソールでログインします。これとは異なり、以前のバージョンのXPではこのタイプのログインはサポートされていませんたとえば、Windows 2000では、ターミナルサービスのログインはタイプ2として記録されています。

ログインの種類11：キャッシュインタラクション（CachedInteractive）

Windowsではキャッシュログインと呼ばれる機能がサポートされています。これは、モバイルネットワークを使用するユーザーにとっては特に便利です。この機能は、ユーザーがログインしてもドメインコントローラにログインできない場合に使用されますデフォルトでは、Windowsは過去10件の対話型ドメインログインの資格情報をキャッシュします。 WindowsはこれらのHASHを使用してあなたの身元を確認します。

上記ではWindowsのログインの種類について説明していますが、既定ではWindows 2000はセキュリティログを記録しません最初にグループポリシーの[コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[ローカルポリシー]、[監査ポリシー]を有効にする必要があります。 [' Audit Login Event]の下にある上記のレコード情報を確認してください。これらの詳細な記録がシステムの理解を深め、ネットワークの安定性を維持するのに役立つことを願っています。

ログオンの種類7：ユーザが対応するワークステーションにパスワードで保護されたスクリーンセーバーを起動し、自動的に自分のコンピュータを離れたときにロック解除（アンロック）

あなたはよいでしょうユーザーがロック解除に戻ると、Windowsはこのロック解除操作をタイプ7ログインと見なし、タイプ7ログインが失敗した場合は、誰かが間違ったパスワードを入力したか、誰かがコンピューターのロックを解除しようとしています。

ログインタイプ8：NetworkCleartext

このログインは、タイプ3のようなネットワークログインであることを示していますが、このログインのパスワードはネットワークを介してクリアテキストで送信されます。 Windows Serverサービスでは、プレーンテキスト認証による共有フォルダまたはプリンタへの接続は許可されていませんが、Advapiを使用してASPスクリプトからログインする場合、または基本認証を使用してIISにログインする場合にのみ使用できます。 Advapiは[ログインプロセス]列に表示されます。

ログインタイプ9：NewCredentials

/Netonlyパラメータを指定してRUNASコマンドを使用してプログラムを実行すると、RUNASはローカルの現在ログインしているユーザーとしてそのプログラムを実行しますが、このプログラムでは必要です。ネットワーク上の他のコンピュータに接続するときは、RUNASコマンドで指定されたユーザーがこの時点で接続され、Windowsはこのログインをタイプ9として記録します。RUNASコマンドに/Netonlyパラメータがない場合、プログラムは指定されたユーザーは実行中ですが、ログ内のログイン・タイプは2です。

ログインタイプ10：リモートインタラクティブ（RemoteInteractive）

ターミナルサービス、リモートデスクトップ、またはリモートアシスタンスを介してコンピュータにアクセスすると、Windowsはタイプ10としてログインし、実際のコンソールでログインします。これとは異なり、以前のバージョンのXPではこのタイプのログインはサポートされていませんたとえば、Windows 2000では、ターミナルサービスのログインはタイプ2として記録されています。

ログインの種類11：キャッシュインタラクション（CachedInteractive）

Windowsではキャッシュログインと呼ばれる機能がサポートされています。これは、モバイルネットワークを使用するユーザーにとっては特に便利です。この機能は、ユーザーがログインしてもドメインコントローラにログインできない場合に使用されますデフォルトでは、Windowsは過去10件の対話型ドメインログインの資格情報をキャッシュします。 WindowsはこれらのHASHを使用してあなたの身元を確認します。

上記ではWindowsのログインの種類について説明していますが、既定ではWindows 2000はセキュリティログを記録しません最初にグループポリシーの[コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[ローカルポリシー]、[監査ポリシー]を有効にする必要があります。 [' Audit Login Event]の下にある上記のレコード情報を確認してください。これらの詳細な記録が、システムをよりよく理解し、ネットワークの安定性を維持するのに役立つことを願っています。