Windows 日志安全审核

最新推荐文章于 2025-03-08 00:00:00 发布
最新推荐文章于 2025-03-08 00:00:00 发布
阅读量8.6k 收藏 4
点赞数
分类专栏: Windows Logon Type
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isoleo/article/details/44955463
版权
这篇博客详细解析了Windows系统的不同登录类型,包括交互式登录(2)、网络登录(3)、计划任务(4)、服务(5)、解锁屏幕(7)、远程登录(10)等,强调了各种类型的应用场景和安全性问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows Logon Type的含义
 
我只是把主要的内容整理了一下备查。
 
Logon type 2 Interactive  本地交互登录。最常见的登录方式。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户,Windows会缓存前10次成功登录的登录。


最低0.47元/天 解锁文章
《网络安全自学教程》- Windows系统日志详解
wangyuxiang946的博客
04-29 1万+
讲解Windows日志有哪些,解析常见的Windows事件ID,并教大家如何搜索Windows日志
揭秘Windows系统日志:操作系统安全的终极指南
qq_44103359的博客
05-16 553
安全审计是监控和记录系统活动的过程,目的是检测和预防未授权的访问和操作。操作系统通常提供审计功能,允许管理员定义哪些事件需要被记录,以及如何处理这些记录。
windows日志审计
05-22
windows日志的审计,用的是UDP通信
Windows 事件日志审核
ITmoster的博客
05-12 1848
EventLog Analyzer 是一个全面的日志管理工具,可在单个控制台上支持 Windows 事件日志以及其他日志源。该解决方案通过基于代理和无代理的方法自动收集日志
Windows Server开启审计功能
最新发布
人人可学,人人可用,IT与AI不是高不可攀!
03-08 2249
Windows Server 提供了强大的审计功能,可以通过组策略、本地安全策略或 auditpol.exe 等工具开启和配置。 建议使用 高级审核策略配置,它提供了更精细的审计控制。 要审计用户执行的命令,可以启用 详细跟踪 (Detailed Tracking) 类别下的 进程创建 事件。 开启审计功能后,务必保护好安全日志,并注意性能影响、日志空间管理和用户隐私等问题。 根据您的安全需求和合规性要求,选择合适的审计策略,并进行充分的测试和验证。
Windows 日志审核策略:审核账号登录事件
par@ish的博客
02-22 4062
失败登录:记录了未授权或无效的登录尝试,包括错误的用户名、密码输入,或者由于网络问题导致的登录失败等。审核帐户登录事件是Windows操作系统中的一项安全审计功能,它允许系统管理员跟踪和记录与用户账户登录相关的所有成功或失败尝试。这些登录类型帮助系统管理员在审核安全日志时识别不同类型的登录行为及其安全性,并能够根据登录类型分析潜在的安全风险或合规性要求。登录类型:记录登录事件的类型,比如本地交互式登录(即用户直接在计算机上登录)、网络登录、服务登录或其他类型的登录。这九个审核类别构成了审核策略。
Windows 操作系统等保测评二级合规基线整改项-安全审计篇
qq_57930963的博客
05-28 1961
Windows 操作系统中,安全审计是一项重要的安全措施,它可以记录用户的登录、操作和系统事件,以便管理员进行审计和追踪。为了满足等保测评二级的要求,需要对 Windows 操作系统的安全审计进行配置和整改。
Windows 文件系统审计完整指南
allway2的博客
05-21 3592
您将在事件中看到成功或失败消息、文件或对象的名称,以及尝试访问的用户和进程。在我们的例子中,仅筛选事件 4656、4660、4663 和可选的 4658,并且仅筛选所需的“访问”值。具有相同句柄的事件 4660 区分发出 4660 事件的删除或回收,以及未发出 4660 事件的重命名或移动。每个文件操作都包括 Windows 执行的许多较小的操作,而这些较小的操作是记录的操作。事件 4659,该事件类似于 4660,但记录在请求在下次重新启动时删除锁定的文件,而不是现在删除它们。
Windows 2000安全审核:事件监控与日志分析
"本章主要讨论的是Windows 2000操作系统的安全审核机制,它在信息安全策略中扮演着重要角色。安全审核可以帮助追踪和分析系统中的安全事件,包括访问对象、用户账户管理以及登录登出等,以识别潜在的安全威胁。...
Windows系统日志审核:强化安全与入侵排查策略
在IT领域,系统安全尤其是日志审核是维护Windows操作系统安全的重要手段。Windows操作系统作为全球广泛使用的平台,其安全性备受关注,尤其是在服务器环境中。以下是对Windows操作系统安全的深入探讨,包括但不限于...
rizhi.zip_ReadEVTDlg_windows日志_日志分析_系统日志
09-24
Windows日志主要包括安全日志、系统日志、应用程序日志和设置日志等几大类别。其中: 1. **安全日志**:记录了系统安全相关的事件,如用户登录、权限更改、资源访问等,是排查安全问题的重要参考。 2. **系统日志**...
win2008系统日志不断出现【审核失败】
weixin_30294709的博客
03-11 1675
win2008系统日志不断出现【审核失败】 【现象】 今天查看windows日志,在 -安全- 发现不断有消息刷出,显示 -审核失败- 事件ID为4624 的记录 每分钟大概刷新8条消息(如图) 【个人判断】 可能存在不断的尝试性登入,试图在短时间内不断的以多个帐密测试破解登入帐密,攻...
windows日志审核
7Riven's blog
12-05 1万+
windows事件日志简介 Windows事件日志记录着 Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。 Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件级别、用户、计算机、事件1D...
2018.7.20Windows日志审核
xxxMIng的博客
12-28 1858
Windows日志审核 2018.7.20 Windows事件日志简介 位置 管理工具-事件查看器 本质上是数据库:发生什么--什么时间-与谁有关-是否系统相关-访问什么资源 共有五种事件级别:所有的事件必须只能拥有其中的一种事件级别 成功的审核安全访问尝试,主要指安全性日志,所有的成功登录系统都会被记录为成功审核事件 Windows日志文件 文件名、结构、存储位置 ...
服务器系统日志4625,事件4625窗口安全审核无法登录 . 失败原因:未知用户名或密码错误...
weixin_28888459的博客
08-12 7062
我有Windows服务器2012 R2天蓝色虚拟实例,并且很少有端口打开,即(80,443,RDC) . 我在安全性部分中观察了以下日志Windows事件查看器 .事件4625:Microsoft Windows安全审核-------日志描述开始帐户无法登录 .学科:安全ID:NULL SID用户名: -帐户域名: -登录ID:0x0登录类型:3登录失败的帐户:安全ID:NULL SID帐户名称...
windows系统审核日志
weixin_33962923的博客
12-11 1768
 所有审核事件都记录在Windows事件查看器中的安全事件日志里。这些事件通常都是无法立即对其采取操作的,实际上它们一般都属于信息性内容。对所发生的每个特定类型的访问,每个事件都记录一个简单的“审核成功”或“审核失败”。这不同于那些应用程序或系统事件日志,它们可通过彩色编码来识别问题(提示:可通过查找红色事件来追踪问题)。  安全事件日志与此完全不同,因为审核的事件通常被其...
【系统审计】Windows配置基本安全审核策略及日志查看
没枕头我咋睡觉
02-03 1万+
一、审核策略配置 1、打开控制面板 2、打开系统安全 3、点击管理工具 4、点击本地安全策略 5、点击本地策略 6、点击审核策略 7、点击选中策略,确定是否勾选 二、结果查看 1、按win+x选中事件管理器 2、选中windows日志 3、选中安全,即可查看结果 备注: 参考文档:https://docs.microsoft.com/zh-cn/windows/security/threat-...
Windows日志浅析
热门推荐
过河卒子
02-01 4万+
从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLINSMITH)的电子书,以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励,至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更多的认识和理解,好了,废话不多说了,回归正题。     Windows日志Windows2000版本后共包括9种审计策略,Windo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值