我这个人有时候就是会疑神疑鬼的,今天打开笔记本的时候总感觉跟上次离开的时候有点不一样,于是就无理由的认为有人碰了我的电脑,毕竟我的登录密码只有四位数字。
原来我是没有查看电脑日志的习惯的,并且正常人也没有必要每次打开电脑都要看一下日志。
但是我想不止我一个人有过这种感觉,况且查看日志的过程并不复杂,今儿我们就来了解一下,如何用最简单的方式查看电脑的日志信息。
Win+R,输入"eventvmr.msc"
然后展开Windows日志,选择“安全”,登录日志信息就显示出来了。
但是这么多令人眼花的日志信息,究竟哪些才是用户输入密码登录会触发的事件呢?很显然一次登录触发的事件也不会只有一个。
很简单,我只需要执行一次错误的登录命令(输入错误的PIN码),然后再执行一次正确的登录操作,然后查看那个时间点触发的所有事件ID即可。
操作结果如下图所示:
可以看到,我在18:31:55这个时刻故意输入错误的PIN码导致审核失败。
紧接着,我在18:31:58这个时刻输入了正确的PIN码,于是上面的红框中就都是是这个时间点我登录触发的事件了。
虽然我们都看得懂logon、logoff,但是还是有必要通过事件ID判断事件类型:
| Event ID(2000/XP/2003) | Event ID(Vista/7/8/2008/2012) | 描述 | 日志名称 |
|---|---|---|---|
| 517 | 1102 | 日志清除 | 安全 |
| 528 | 4624 | 用户成功登录,比如用户输错密码 | 安全 |
| 529 | 4625 | 用户失败登录 | 安全 |
| 552 | 4648 | 试图使用显式凭据登录 ,我用账户密码使用远程桌面登陆的时候就会出现这个日志 | 安全 |
| 576 | 4672 | 给新登录分配特权,例如管理员登录会被分配特权 | 安全 |
| 592 | 4688 | 进程创建 | 安全 |
| 624 | 4720 | 已创建用户帐户,当创建一个用户账户的时候就会记录这个日志 | 安全 |
| 626 | 4722 | 已启用用户帐户,当创建一个用户的时候,就会记录这个日志,因为创建用户后默认都是启用,不会有人勾选不启用吧...... | 安全 |
| 628 | 4724 | 试图重置帐户密码,比如在域控中重置账户密码 | 安全 |
| 632 | 4728 | 成员已添加至全局组。 | 安全 |
| 636 | 4732 | 成员已添加至本地组。 | 安全 |
| 642 | 4738 | 已更改用户帐户,具体更改了用户的哪些信息,比如重置密码,用户登录名 | 安全 |
| 无 | 4741 | 计算机账户管理,域中新加入或者新建一台计算机 | 安全 |
| 无 | 4743 | 计算机账户管理,域中脱离或者删除一台计算机 | 安全 |
| 672 | 4768 | 请求了Kerberos身份验证票证(TGT)[备注:已成功颁发和验证身份验证服务 (AS) 票证。] | 安全 |
| 673 | 4769 | 请求了Kerberos服务票证 [备注:授权票证服务 (TGS) 票证已授权。TGS 是由 Kerberos v5 票证授权服务 (TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。] | 安全 |
| 680 | 4776 | 验证帐户的凭据,比如登陆用户账户的时候就会有4776 | 安全 |
| 无 | 5140 | 网络共享对象被访问 | 安全 |
| 无 | 5145 | 具体访问了哪些文件 | 安全 |
| 无 | 104 | 日志清除 | 系统 |
| 无 | 6005 | EventLog事件日志服务已启动。(当事件日志服务正常启动的时候电脑肯定开机) | 系统 |
| 无 | 6006 | EventLog事件日志服务已停止。(当事件日志服务正常停止的时候电脑肯定关机) | 系统 |
| 无 | 6009 | 懒得找了,意会吧,当电脑非正常关机,比如直接拔电源,就会出现6009 | 系统 |
因此,我们主要关注ID为4624的事件。
但是问题来了,抛开其它杂七杂八的系统事件(other system event)不谈,为什么我一次登录会触发多个logon、logoff事件呢?到底哪个才是真正的用户输入密码触发的事件呢?
既然无法区分,就需要我们查看更详细的信息。因此,选择下方的详细信息,选择友好视图或XML视图均可。
其中主要关注Logontype,就是登录类型。
可以看到上图事件ID为4624,登录类型为11,那么11代表什么呢?
不卖关子,直接给结论:
- 登录类型2:交互式登录(Interactive)
-
- 也称本地登录,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
- 登录类型3:网络(Network)
-
- 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
- 登录类型4:批处理(Batch)
-
- 当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
- 登录类型5:服务(Service)
-
- 与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
- 登录类型7:解锁(Unlock)
-
- 你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
- 登录类型8:网络明文(NetworkCleartext)
-
- 这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
- 登录类型9:新凭证(NewCredentials)
-
- 当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。
- 登录类型10:远程交互(RemoteInteractive)
-
- 当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
- 登录类型11:缓存交互(CachedInteractive)
-
- Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
由此可见,上图对应缓存交互的登录事件类型,并不是我实际输入PIN码触发的登录行为。
因此我们查看另外三个ID同样为4624的事件:
很显然这次对了,7属于计算机解锁类型。
以上就是一个很简单的通过查看日志登录详情判断出18:31:58分存在用户尝试解锁计算机的行为的过程。
你,学废了吗?
