Windows登錄日志詳解

摘要: 日志在很多時(shí)候是非常重要的，尤其是登錄日志。從登錄日志中可以發(fā)現(xiàn)很多有價(jià)值的信息，window2008及以后的日志基本一致，2003由于時(shí)間太長(zhǎng)，微軟都停止更新了，所以重點(diǎn)介紹2008的登錄日志。

一、 Windows登錄類型

Windows登錄類型對(duì)應(yīng)含義如下表：

登錄類型2：交互式登錄（Interactive）： 就是指用戶在計(jì)算機(jī)的控制臺(tái)上進(jìn)行的登錄，也就是在本地鍵盤上進(jìn)行的登錄。

登錄類型3：網(wǎng)絡(luò)（Network）： 最常見(jiàn)的是訪問(wèn)網(wǎng)絡(luò)共享文件夾或打印機(jī)。另外大多數(shù)情況下通過(guò)網(wǎng)絡(luò)登錄IIS時(shí)也被記為這種類型，但基本驗(yàn)證方式的IIS登錄是個(gè)例外，它將被記為類型8。

登錄類型4：批處理（Batch） ：當(dāng)Windows運(yùn)行一個(gè)計(jì)劃任務(wù)時(shí)，“計(jì)劃任務(wù)服務(wù)”將為這個(gè)任務(wù)首先創(chuàng)建一個(gè)新的登錄會(huì)話以便它能在此計(jì)劃任務(wù)所配置的用戶賬戶下運(yùn)行，當(dāng)這種登錄出現(xiàn)時(shí)，Windows在日志中記為類型4，對(duì)于其它類型的工作任務(wù)系統(tǒng)，依賴于它的設(shè)計(jì)，也可以在開(kāi)始工作時(shí)產(chǎn)生類型4的登錄事件，類型4登錄通常表明某計(jì)劃任務(wù)啟動(dòng)，但也可能是一個(gè)惡意用戶通過(guò)計(jì)劃任務(wù)來(lái)猜測(cè)用戶密碼，這種嘗試將產(chǎn)生一個(gè)類型4的登錄失敗事件，但是這種失敗登錄也可能是由于計(jì)劃任務(wù)的用戶密碼沒(méi)能同步更改造成的，比如用戶密碼更改了，而忘記了在計(jì)劃任務(wù)中進(jìn)行更改。 

登錄類型5：服務(wù)（Service） ：與計(jì)劃任務(wù)類似，每種服務(wù)都被配置在某個(gè)特定的用戶賬戶下運(yùn)行，當(dāng)一個(gè)服務(wù)開(kāi)始時(shí)，Windows首先為這個(gè)特定的用戶創(chuàng)建一個(gè)登錄會(huì)話，這將被記為類型5，失敗的類型5通常表明用戶的密碼已變而這里沒(méi)得到更新。 

登錄類型7：解鎖（Unlock） ：很多公司都有這樣的安全設(shè)置：當(dāng)用戶離開(kāi)屏幕一段時(shí)間后，屏保程序會(huì)鎖定計(jì)算機(jī)屏幕。解開(kāi)屏幕鎖定需要鍵入用戶名和密碼。此時(shí)產(chǎn)生的日志類型就是Type 7。

登錄類型8：網(wǎng)絡(luò)明文（NetworkCleartext） ：通常發(fā)生在IIS 的 ASP登錄。不推薦。

 登錄類型9：新憑證（NewCredentials） ：通常發(fā)生在RunAS方式運(yùn)行某程序時(shí)的登錄驗(yàn)證。

登錄類型10：遠(yuǎn)程交互（RemoteInteractive） ：通過(guò)終端服務(wù)、遠(yuǎn)程桌面或遠(yuǎn)程協(xié)助訪問(wèn)計(jì)算機(jī)時(shí)，Windows將記為類型10，以便與真正的控制臺(tái)登錄相區(qū)別，注意XP之前的版本不支持這種登錄類型，比如Windows2000仍然會(huì)把終端服務(wù)登錄記為類型2。 

登錄類型11：緩存交互（CachedInteractive） :在自己網(wǎng)絡(luò)之外以域用戶登錄而無(wú)法登錄域控制器時(shí)使用緩存登錄。默認(rèn)情況下，Windows緩存了最近10次交互式域登錄的憑證HASH，如果以后當(dāng)你以一個(gè)域用戶登錄而又沒(méi)有域控制器可用時(shí)，Windows將使用這些HASH來(lái)驗(yàn)證你的身份。 

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

二、 常見(jiàn)登錄類型日志分析（以windows2008為例）

1、本地交互式登錄，也就是我們每天最常使用的登錄方式。

首先是成功的登錄，從日志分析來(lái)看至少會(huì)有2個(gè)事件發(fā)生，分別為ID4648、 4624，以下從上至下分別是各自的截圖。

審核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登錄

現(xiàn)在來(lái)分析下，首先是ID4648事件，該事件說(shuō)明有人使用身份憑據(jù)在嘗試登錄，并且頭字段中的用戶名為SYSTEM?？纯疵枋鲂畔⒅杏惺裁矗?/p>

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4648

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O （目標(biāo)機(jī)器名）

說(shuō)明:

試圖使用顯式憑據(jù)登錄。（說(shuō)明有人在嘗試登錄）

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$（主機(jī)名加了$后綴）

帳戶域: WORKGROUP  （主機(jī)的域名，此例中主機(jī)在名稱為“WORKGROUP”的工作組中）

登錄 ID: 0x3e7

登錄 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個(gè)帳戶的憑據(jù):

帳戶名: wrh（登錄使用的用戶名）

帳戶域: WIN-K7LDM0NKH6O （目標(biāo)帳戶域）

登錄 GUID: {00000000-0000-0000-0000-000000000000}

目標(biāo)服務(wù)器:

目標(biāo)服務(wù)器名: localhost

附加信息: localhost

進(jìn)程信息:

進(jìn)程 ID: 0xfb8

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

網(wǎng)絡(luò)地址: 127.0.0.1

端口: 0

接著是ID4624事件，看看描述信息：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4624

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已成功登錄帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$ （主機(jī)名加了$后綴）

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 2  （交互式登錄）

新登錄:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名: wrh （登錄的帳戶名稱）

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x51a72

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0xfb8

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 127.0.0.1

源端口: 0

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

接下來(lái)看看失敗的本地登錄。失敗登錄會(huì)產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:35:13

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x1f903

登錄類型: 2  （交互式登錄）

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: wrh （登錄的帳戶名稱）

帳戶域:

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。（失敗原因）

狀態(tài): 0xc000006e

子狀態(tài): 0xc000006e

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0xec0

調(diào)用方進(jìn)程名: C:\Windows\System32\dllhost.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: -

源端口: -

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: Advapi  

身份驗(yàn)證數(shù)據(jù)包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

2、使用RDP協(xié)議進(jìn)行遠(yuǎn)程登錄，這也是日常經(jīng)常遇到的情況。

使用mstsc遠(yuǎn)程登錄某個(gè)主機(jī)時(shí)，使用的帳戶是管理員帳戶的話，成功的情況下會(huì)有ID為4648、4624、4672的事件產(chǎn)生。首先是成功登錄，如下圖所示，從中可以看到ID為4624，審核成功，登錄類型為10（遠(yuǎn)程交互）。并且描述信息中的主機(jī)名（源工作站）仍為被嘗試登錄主機(jī)的主機(jī)名，而不是源主機(jī)名。

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登錄

審核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登錄

現(xiàn)在來(lái)分析下，首先是ID4648事件，該事件說(shuō)明有人使用身份憑據(jù)在嘗試登錄，并且頭字段中的用戶名為SYSTEM。看看描述信息中有什么：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4648

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

試圖使用顯式憑據(jù)登錄。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個(gè)帳戶的憑據(jù):

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 GUID: {00000000-0000-0000-0000-000000000000}

目標(biāo)服務(wù)器:

目標(biāo)服務(wù)器名: localhost

附加信息: localhost

進(jìn)程信息:

進(jìn)程 ID: 0xb3c

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

網(wǎng)絡(luò)地址: 192.168.0.122 （源主機(jī)IP地址）

端口: 10898  （源主機(jī)端口）

接著是ID4624事件，看看描述信息：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4624

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已成功登錄帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 10

新登錄:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0xa93db

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0xb3c

進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10898

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

從這里可以看出和本地登錄至少有3個(gè)地方不一樣，首先登錄類型的ID為10，說(shuō)明是遠(yuǎn)程交互式登錄，其次是源網(wǎng)絡(luò)地址和源端口。

再來(lái)看看ID4672，特殊登錄事件：

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4672

任務(wù)類別:          特殊登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

為新登錄分配了特殊權(quán)限。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0xa93db

特權(quán): SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

所有為登錄進(jìn)程分配特殊權(quán)限的操作都屬于“特殊登錄”事件。特殊權(quán)限是指，帳戶域WIN-K7LDM0NKH6O下的所有特權(quán)帳戶，用戶無(wú)法使用這些特權(quán)帳戶登錄系統(tǒng)，這些帳戶是留給系統(tǒng)服務(wù)進(jìn)程執(zhí)行特權(quán)操作用的。

接下來(lái)看看失敗的RDP協(xié)議登錄。失敗登錄會(huì)產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 16:57:50 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:50

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 10

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0xb3c

調(diào)用方進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10898

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

使用不存在的用戶名和錯(cuò)誤密碼分別登錄失敗，ID為4625，登錄類型為10（遠(yuǎn)程交互）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！

3、遠(yuǎn)程訪問(wèn)某臺(tái)主機(jī)的共享資源，如某個(gè)共享文件夾。

首先是使用正確的用戶名和密碼訪問(wèn)遠(yuǎn)程共享主機(jī)，登錄事件ID為4624，登錄類型為3（Network），審核成功。列出了源網(wǎng)絡(luò)地址和端口。

審核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         4624

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已成功登錄帳戶。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登錄 ID: 0x0

登錄類型: 3

新登錄:

安全 ID: ANONYMOUS LOGON

帳戶名: ANONYMOUS LOGON

帳戶域: NT AUTHORITY

登錄 ID: 0x6ae53

登錄 GUID: {00000000-0000-0000-0000-000000000000}

進(jìn)程信息:

進(jìn)程 ID: 0x0

進(jìn)程名: -

網(wǎng)絡(luò)信息:

工作站名: CHINA-CE675F3BC

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10234

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: NtLmSsp

身份驗(yàn)證數(shù)據(jù)包: NTLM

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): NTLM V1

密鑰長(zhǎng)度: 0

如果訪問(wèn)共享資源使用的帳戶名、密碼正確，但是該用戶對(duì)指定的共享文件夾沒(méi)有訪問(wèn)權(quán)限時(shí)仍然會(huì)有ID為4624的認(rèn)證成功事件產(chǎn)生。

接下來(lái)的是事件ID為5140的文件共享日志，顯示了訪問(wèn)的共享文件夾名稱。

審核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         5140

任務(wù)類別:          文件共享

級(jí)別:            信息

關(guān)鍵字:           審核成功

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

已訪問(wèn)網(wǎng)絡(luò)共享對(duì)象。

主題:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名稱: wrh

帳戶域: WIN-K7LDM0NKH6O

登錄 ID: 0x6ae28

網(wǎng)絡(luò)信息:

源地址: 192.168.0.122

源端口: 10234

共享名稱: \\*\wrh

再來(lái)看看共享訪問(wèn)登錄失敗事件ID4625的日志信息：

審核失敗 2016/9/23 15:15:12 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 15:15:12

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登錄 ID: 0x0

登錄類型: 3

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0x0

調(diào)用方進(jìn)程名: -

網(wǎng)絡(luò)信息:

工作站名: CHINA-CE675F3BC

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 9323

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: NtLmSsp

身份驗(yàn)證數(shù)據(jù)包: NTLM

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

同RDP協(xié)議遠(yuǎn)程登錄，使用不存在的用戶名和錯(cuò)誤密碼分別登錄失敗，ID為4625，登錄類型為3（網(wǎng)絡(luò)）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

4、解鎖登錄

解鎖登錄和遠(yuǎn)程登錄一樣，成功的情況下會(huì)有ID為4648、4624、4672的事件產(chǎn)生。首先是成功登錄，如下圖所示，從中可以看到ID為4624，審核成功，登錄類型為7（Unlock）。

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登錄

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登錄

審核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登錄

接下來(lái)看看失敗的解鎖登錄。同樣，失敗登錄會(huì)產(chǎn)生ID為4625的事件日志。

審核失敗 2016/9/23 16:28:35 Microsoft Windows security auditing. 4625 登錄

日志名稱:          Security

來(lái)源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:28:35

事件 ID:         4625

任務(wù)類別:          登錄

級(jí)別:            信息

關(guān)鍵字:           審核失敗

用戶:            暫缺

計(jì)算機(jī):           WIN-K7LDM0NKH6O

說(shuō)明:

帳戶登錄失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登錄 ID: 0x3e7

登錄類型: 7

登錄失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗信息:

失敗原因: 未知用戶名或密碼錯(cuò)誤。

狀態(tài): 0xc000006d

子狀態(tài): 0xc000006a

進(jìn)程信息:

調(diào)用方進(jìn)程 ID: 0x204

調(diào)用方進(jìn)程名: C:\Windows\System32\winlogon.exe

網(wǎng)絡(luò)信息:

工作站名: WIN-K7LDM0NKH6O

源網(wǎng)絡(luò)地址: 192.168.0.122

源端口: 10156

詳細(xì)身份驗(yàn)證信息:

登錄進(jìn)程: User32

身份驗(yàn)證數(shù)據(jù)包: Negotiate

傳遞服務(wù): -

數(shù)據(jù)包名(僅限 NTLM): -

密鑰長(zhǎng)度: 0

同樣，使用不存在的用戶名和錯(cuò)誤密碼分別登錄失敗，ID為4625，登錄類型為7（unlock）。審核失敗，列出了登錄失敗的賬戶名和失敗原因。

    最后我們總結(jié)一下“審計(jì)登錄”事件：

· 在進(jìn)程嘗試通過(guò)顯式指定帳戶的憑據(jù)來(lái)登錄該帳戶時(shí)生成4648事件。

· 成功的登錄通常會(huì)有4624事件產(chǎn)生，在創(chuàng)建登錄會(huì)話后在被訪問(wèn)的計(jì)算機(jī)上生成此事件。

· 如果用戶有特權(quán)會(huì)有4672事件產(chǎn)生。

· 通常情況下只需關(guān)注登錄類型為2、3、7、10類型的4625登錄失敗事件。

本文由賽克藍(lán)德(secisland)原創(chuàng)，轉(zhuǎn)載請(qǐng)標(biāo)明出處，感謝！