http://blog.sina.com.cn/s/blog_6fe99b2f0100n7ez.html
此次实验均使用windows2003,其它版本的windows系统事件ID和描述可能会有一些出入。
1、本地交互式登录,也就是我们每天最常使用的登录方式。如果成功登录的话,会产生ID为680的事件,
如上图所示,我们从中可以获取到的有用信息有:认证事件的时间、结果为成功(审核成功)、登录帐户为“administrator”、(描述中的部分)、被登录的主机名(WIN2003)。接下来看看登录失败是什么记录,这里第1次使用不存在的用户名登录、第2次使用正确的用户名但是错误密码。
从日志中我们可以很遗憾地看到,虽然是登录失败事件,但是事件ID仍然是680(windows2000失败事件ID为681,Windows2003把成功和失败事件都标识为ID680)。但是类型为“审核失败”,并且头字段中的用户名由原来的“Windows2003\Administrator”变成了“NT AUTHORITY\SYSTEM”。描述信息中的登录帐户记录了尝试登录使用的真实用户名,错误代码也会根据认证失败的原因而变化。据微软的说明,每种错误代码对应的原因如下表格:
0xC000006A | An incorrect password was supplied |
0xC000006F | The account is not allowed to log on at this time |
0xC0000064 | The account does not exist |
0xC0000070 | The account is not allowed to log on from this computer |
0xC0000071 | The password has expired |
0xC0000072 | The account is disabled |
2、使用RDP协议进行远程登录,这也是日常经常遇到的情况。
首先是成功登录,如下图所示,从中可以看到ID仍为680,并且与本地登录没有任何明显区别。并且描述信息中的主机名(源工作站)仍为被尝试登录主机的主机名,而不是源主机名。然后使用不存在的用户名和错误密码分别登录失败1次,产生的日志与第1种一样,所以不再附图。
3、远程访问某台主机的共享资源,如某个共享文件夹。
首先是使用正确的用户名和密码访问远程共享文件夹,如下图所示。从中可以发现头字段和描述字段中的用户名都为访问共享文件夹时使用的用户名,并且描述信息中的源工作站名也为发出访问共享文件夹请求的主机的真实主机名,与头字段中的计算机名字段的主机名不同。
这里说明一下,当访问某个主机的共享资源时,例如在点击“开始—运行”后输入“\\192.168.10.1\share”时,Windows默认使用当前登录的凭证去访问共享资源,如果当前凭证的用户名在被访问主机上不存在或者密码不一致时会产生多条“审核失败”事件,如下图所示。并且会在描述字段中记录真实的用户名和主机名,同样会有错误代码。
此外,如果访问共享资源使用的帐户名、密码正确,但是该用户对指定的共享文件夹没有访问权限时仍然会有ID为680的认证成功事件产生。
4、创建任务计划,并指定以某个用户来执行。
首先使用正确的用户名和密码创建一个任务计划,在该任务计划完成后同样会看到“帐户登录”成功事件,如下图所示。
从图中可以看到头字段中的用户名和描述字段中的用户名都是创建任务计划时指定的有效用户。
如果创建任务计划时输入错误密码,则无法创建任务计划,并且会有“帐户登录”失败日志生成,如右图所示,和一般的认证失败事件没有区别。但奇怪的是使用无效的用户名创建任务计划时没有“帐户登录”失败日志生成。
5、以服务方式运行
启用某个服务,并指定以某个帐户运行。这里同样先使用正确的用户名和密码设置服务,然后手工方式启动服务。可以看到有“帐户登录”的成功事件,如下图所示。从图中可以看到头字段中的用户名和描述字段中的用户名都是开启服务时指定的特定用户。这里说明一下,实验时以某特定用户启动服务但报错,但是会有成功认证的事件生成。如果指定用户为系统默认的“NT AUTHORITY\NetworkService”或“NT AUTHORITY\LocalService”来运行,则密码随意输入也可正常启动服务。且不会有认证事件的日志生成。
如果指定以某特定帐户运行时输入的无效密码,则在服务启动时会报错,且会有“帐户登录”的失败事件生成,如下图所示:企业网站源码下载
从图中可看到头字段的用户是“SYSTEM”,描述信息中的登录帐户字段才是真正的用户名,并且错误代码指明失败原因是密码错误。