在日常使用 Windows 计算机时,我们可能会遇到不同类型的登录方式,比如 本地登录(Interactive Logon) 和 网络登录(Network Logon)。如果你曾在公司网络中访问共享文件夹、远程管理服务器,或者使用远程打印机,你已经在无意间使用了 网络登录。
那么,什么是网络登录?它是如何工作的?又该如何保障其安全性?今天,我们就来深入探讨 Windows 网络登录的原理、应用场景和安全防护措施。
🔹 什么是 Windows 网络登录?
网络登录(Network Logon),顾名思义,就是用户或计算机通过网络远程访问另一台计算机,而不是在本地键盘和屏幕上直接输入账号密码进行登录(本地登录)。
在 Windows 事件日志 中,网络登录的 “Logon Type”(登录类型)为 3,并记录在 事件 ID 4624(成功登录)或 4625(失败登录) 中。
📌 典型的网络登录场景
✅ 访问共享文件夹(SMB):
例如,你在公司局域网内,输入 \\192.168.1.100\shared 访问共享文件夹,这就是一个网络登录。
✅ 远程管理计算机(WinRM):
使用 PowerShell 远程执行命令,例如:
Enter-PSSession -ComputerName Server01 -Credential DOMAIN\User
✅ 远程打印机:
连接到公司网络上的共享打印机进行打印。
📌 事件日志中的网络登录
Windows 通过 安全日志(Security Log) 记录所有的登录事件,包括 交互式登录(Interactive Logon)和网络登录(Network Logon)。
📌 事件 ID 4624(成功登录)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
User: DOMAIN\User
Logon Type: 3 (Network Logon)
📌 事件 ID 4625(失败登录)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 4625
Task Category: Logon
Level: Information
User: DOMAIN\User
Logon Type: 3 (Network Logon)
🔹 Windows 网络登录的身份验证机制
Windows 支持多种方式进行 身份验证(Authentication),确保用户或计算机的身份是真实可信的。常见的认证机制包括:
1️⃣ Kerberos 认证
- Windows 域环境的默认认证协议,通常用于企业内部网络。
- 采用 票据(Ticket)机制,即用户先获取一个票据授权票据(TGT),然后再使用它换取特定服务的访问权限。
- 优点:更安全,对密码的依赖较少,支持单点登录(SSO)。
2️⃣ NTLM 认证(NT LAN Manager)
- 较旧的身份验证协议,仍用于 非域环境 或特定场景。
- 采用 挑战-响应(Challenge-Response) 机制,即服务器向客户端发起挑战,客户端用密码加密后返回,服务器进行匹配验证。
- 缺点:容易被“Pass-the-Hash(PTH)攻击”利用,攻击者可以用窃取的哈希值冒充用户登录。
3️⃣ TLS/SSL 认证
- 主要用于 HTTPS 访问 和 VPN 连接,确保数据传输加密。
- 依赖 公钥基础设施(PKI) 进行身份验证。
4️⃣ Digest 认证
- 主要用于 Web 服务器或 LDAP 认证,比 NTLM 更安全。
🔹 网络登录与 LSASS 进程的安全性
Windows 中的 LSASS(Local Security Authority Subsystem Service) 进程是安全认证的核心,负责 存储和管理用户凭据。
📌 关于 LSASS 进程的安全特性
- 通常,网络登录的凭据不会缓存在
lsass.exe进程的内存空间中。 - 交互式登录(Logon Type 2)和远程交互式登录(Logon Type 10) 的凭据更容易被缓存,因此更容易受到 Mimikatz 等工具的攻击。
📌 特殊情况:使用 PsExec 远程执行命令
PsExec.exe \\RemoteServer -u DOMAIN\User -p Password cmd.exe
- 默认情况下,网络登录的凭据不会缓存在
lsass.exe中。 - 如果使用
-u选项提供备用凭据,则 可能导致凭据被缓存,增加攻击风险。
🔹 如何提升 Windows 网络登录的安全性?
针对 网络登录 的安全防护,我们可以采取以下措施:
✅ 1. 禁用 NTLM 认证,强制使用 Kerberos
NTLM 认证容易受到 Pass-the-Hash(PTH)攻击,建议在域环境中 仅启用 Kerberos。
📌 配置 GPO 限制 NTLM
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Network Security: LAN Manager authentication level > "Send NTLMv2 response only. Refuse LM & NTLM"
✅ 2. 启用 Windows Defender Credential Guard
- 保护 LSASS 进程,防止凭据被提取。
- 隔离 NTLM、Kerberos、Digest 认证凭据,防止恶意软件访问。
📌 启用 Credential Guard
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-Credential-Guard
✅ 3. 配置远程管理工具,避免凭据缓存
- 使用
RunAs /netonly方式运行远程命令,避免凭据缓存。 - 限制 PsExec、WinRM 等工具的使用权限,防止滥用。
🔹 结语
Windows 网络登录(Network Logon) 是远程访问计算机和资源的主要方式,广泛应用于 文件共享、远程管理、身份验证 等场景。
本篇文章介绍了:
✅ 网络登录的概念与 Windows 事件日志标识
✅ 网络登录的主要认证机制(Kerberos、NTLM、TLS、Digest)
✅ LSASS 进程与凭据存储的安全性
✅ 如何加强 Windows 网络登录的安全防护
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
