Windows 事件日志中登录类型(Logon Type)

于 2025-03-21 21:57:23 发布
阅读量624 收藏 3
点赞数 3
分类专栏: 安全主厨 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaoyong631/article/details/146430054
版权

Windows 登录类型(Logon Type)用于标识用户通过何种方式登录到系统,在安全审计日志(如Windows事件日志)中记录不同的登录行为。以下是常见的登录类型及其含义:

常见登录类型

  1. 交互式登录(Interactive - 类型2)

    • 描述:用户直接在计算机的本地控制台输入凭据登录(如物理访问设备)。
    • 示例:输入密码登录桌面。

  2. 网络登录(Network - 类型3)

    • 描述:用户通过网络远程访问资源(如文件共享、RPC调用等),未缓存凭据。
    • 示例:访问共享文件夹或使用远程管理工具(如PsExec)。

  3. 批处理登录(Batch - 类型4)

    • 描述:由任务计划程序(Task Scheduler)启动的作业或脚本触发的登录。
    • 示例:定时任务执行脚本时的登录。

  4. 服务登录(Service - 类型5)

    • 描述:系统服务启动时使用的登录类型。
    • 示例:Windows服务(如SQL Server服务)启动时的身份验证。

  5. 解锁登录(Unlock - 类型7)

    • 描述:用户解锁已锁定的屏幕或会话。
    • 示例:输入密码解除屏幕锁定。

  6. 网络明文登录(Network Cleartext - 类型8)

    • 描述:通过网络传输明文凭据的登录(不推荐,存在安全风险)。
    • 示例:通过HTTP Basic认证访问IIS服务。

  7. 新凭证登录(New Credentials - 类型9)

    • 描述:用户使用“运行身份”(RunAs)或类似功能以其他凭据运行程序。
    • 示例:右键选择“以管理员身份运行”。

  8. 远程交互式登录(RemoteInteractive - 类型10)

    • 描述:通过远程桌面协议(RDP)或类似技术进行的远程登录。
    • 示例:使用远程桌面连接(mstsc)登录服务器。

  9. 缓存交互式登录(CachedInteractive - 类型11)

    • 描述:用户使用本地缓存的凭据登录(如无网络时使用离线账户)。
    • 示例:离线状态登录笔记本电脑。

查看登录类型

在 Windows事件查看器 中,登录事件通常记录在 安全日志(Event ID 4624 或 4625),其中 Logon Type 字段标识具体类型:

  • 路径:事件查看器 → Windows 日志 → 安全
  • 筛选事件ID:4624(成功登录)或 4625(失败登录)。

安全意义

  • 异常登录类型:例如非预期的网络登录(类型3)可能表示潜在攻击。
  • 远程桌面登录(类型10)需监控来源IP是否合法。
  • 服务登录(类型5)需确保服务账户权限最小化。

理解登录类型有助于分析安全事件和排查问题。

运维:Windows 系统安全日志登录类型介绍
IT技术分享社区
11-02 2278
IT运维者必备技能包括能看懂操作系统的日志,才能快速定位问题处理问题,Windows系统的安全日志中可以获得更多有价值的信息,比如它细分了很多种登录类型,可以方便让你区分登录者到底是从本地...
计算机日志查询域用户登录记录,Windows域控制器身份验证登录日志记录和取证...
weixin_39876645的博客
07-02 2631
•2: Interactive logon — This is used for a logon at the console of acomputer. A type 2 logon is logged when you attempt to log on at aWindows computer’s local keyboard and screen.•3: Network logon — T...
Windows登录类型及安全日志解析
weixin_33779515的博客
02-07 2491
Windows登录类型及安全日志解析 一、Windows登录类型       如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录...
Windows 安全日志解析
最新发布
qq_38933606的博客
10-29 1764
Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows日志中记为类型4。与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。当离线设备使用域用户登录时,Windows将使用缓存的交互式域登录的凭证HASH来验证你的身份,这种情况下将登录记为类型11。不详,推测与类型11类似,适用于远程桌面的离线登录
Windows日志分析()
weixin_43200882的博客
10-20 3812
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。多年来,微软不断提高其审计设施的效率和有效性。现代 Windows 系统可以以最小的系统影响记录大量信息。一般来说企业会选择一种工具来获取日志,这个工具叫做即安全,信息和事件管理。
windows时间日志详解-登陆类型
11-06
windows时间日志详解-登陆类型,如题就是这样
Windows 登录用户的类型
weixin_34119545的博客
01-08 878
转载:http://blog.csdn.net/chenlycly/article/details/45419259 1.登录的是超级管理员Administrator  默认情况下,超级管理员Administrator是禁用的,可以通过这样的途径来开启:右键计算机 ->管理 ->系统工具 ->本地用户和组 ->用户 ->右键Administrator ->属...
Windows安全日志LogonType 取值说明
buffedon的博客
09-19 6052
Windows安全日志——LogonType取值说明
Windows Logon Type的含义
weixin_33795806的博客
11-23 504
Windows Logon Type的含义   我只是把主要的内容整理了一下备查。   Logon type 2 Interactive  本地交互登录。最常见的登录方式。Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3Logon type 4 Batch 计划任务Logon Type 5 Service ...
Windows系统日志分析工具-- Log Parser
qq_38205354的博客
01-12 8437
可参考文章:日志分析工具 LogParser 学习笔记_Memetali_ss的博客-CSDN博客 写完才看见。吐了 0x01 基本设置 事件ID及常见场景 对于Windows事件日志分析,不同的EVENT ID代表了不同的意义,摘录一些常见的安全事件的说明。 4624 --登录成功 4625 --登录失败 4634 -- 注销成功 4647 -- 用户启动的注销 4672 -- 使用超级用户(如管理员)进行登录 系统: 1074,通过这个事件ID查看计算机的开机、关...
日志中的秘密 Windows登录类型知多少?
01-11
不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows登录类型。     登录类型2:交互式登录(Interactive)   这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。   登录类型3:网络(Network)   当你从网络的上访
Windows登录类型知多少 Windows登录类型知多少-
10-25
Windows登录类型知多少-Windows登录类型知多少-Windows登录类型知多少-Windows登录类型知多少-Windows登录类型知多少-
windows登录日志统一记录
03-25
通过批处理查询当前3389端口筛选内容到文本,再通过任务计划通过事件触发马上执行,每台服务器都会产生一个ip独立的文件,代码包含登录和退出的登记,贼好用
win-brute-logon:破解没有任何特权的任何Microsoft Windows用户密码(包括来宾帐户)
03-19
Win Brute Logon(概念证明) 发布日期: 2020-05-14 目标:Windows XP至最新的...我认为PoC不仅仅是漏洞,而是Microsoft Windows身份验证机制中的一个严重缺陷。 最大的问题与执行此类操作所需的特权不足有关。 实际上
SIMATIC Logon事件日志分析:故障定位与排除的终极指南
![SIMATIC Logon事件日志分析:故障定位与排除的终极指南]...首先概述了SIMATIC Logon事件日志的基本概念和结构,随后深入介绍了事件日志的具体组成,包括
windows安全日志登录类型
weixin_33813128的博客
10-13 337
blog又被script挂马了,郁闷 查看系统日志,IUSER-账户有登陆记录,并且登录类型为8 登录过程为Advapi ,身份验证数据包:Negotiate 估计被黑了,而且组策略里面的本地登录有此账户,删除。 特意搜索windows登录类型总结: 登录类型2:交互式登录(Interactive)   这应...
Windows日志】记录系统事件日志
热门推荐
第一天
10-14 4万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
日志中的秘密 Windows登录类型都有哪些
sakura379的博客
05-18 592
如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录登录类型1)之外还有其它类型吗 不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhaoyong631

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值