Windows登陸日誌詳解

1、 Windows登陸類型

Windows登陸類型對應含義以下表：

類型ID	登陸方式	描述信息
2	Interactive	A user logged on to this computer at the console
3	Network	A user or computer logged on to this computer from the network
4	Batch	Batch logon type is used by batch servers, where processes might run on behalf of a user without the user’s direct intervention
5	Service	A service was started by the Service Control Manager
7	Unlock	This workstation was unlocked
8	NetworkCleartext	A user logged on to a network and the user password was passed to the authentication package in its unhashed (plain text) form. It is possible that the unhashed password was passed across the network, for example, when IIS performed basic authentication
9	NewCredentials	A caller (process, thread, or program) cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but it uses different credentials for other network connections.
10	RemoteInteractive	A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
11	CachedInteractive	A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials

登陸類型2：交互式登陸（Interactive）： 就是指用戶在計算機的控制檯上進行的登陸，也就是在本地鍵盤上進行的登陸。

登陸類型3：網絡（Network）： 最多見的是訪問網絡共享文件夾或打印機。另外大多數狀況下經過網絡登陸IIS時也被記爲這種類型，但基本驗證方式的IIS登陸是個例外，它將被記爲類型8。

登陸類型4：批處理（Batch） ：當Windows運行一個計劃任務時，「計劃任務服務」將爲這個任務首先建立一個新的登陸會話以便它能在此計劃任務所配置的用戶帳戶下運行，當這種登陸出現時，Windows在日誌中記爲類型4，對於其它類型的工做任務系統，依賴於它的設計，也能夠在開始工做時產生類型4的登陸事件，類型4登陸一般代表某計劃任務啓動，但也多是一個惡意用戶經過計劃任務來猜想用戶密碼，這種嘗試將產生一個類型4的登陸失敗事件，可是這種失敗登陸也多是因爲計劃任務的用戶密碼沒能同步更改形成的，好比用戶密碼更改了，而忘記了在計劃任務中進行更改。 

登陸類型5：服務（Service） ：與計劃任務相似，每種服務都被配置在某個特定的用戶帳戶下運行，當一個服務開始時，Windows首先爲這個特定的用戶建立一個登陸會話，這將被記爲類型5，失敗的類型5一般代表用戶的密碼已變而這裏沒獲得更新。 

登陸類型7：解鎖（Unlock） ：不少公司都有這樣的安全設置：當用戶離開屏幕一段時間後，屏保程序會鎖定計算機屏幕。解開屏幕鎖定須要鍵入用戶名和密碼。此時產生的日誌類型就是Type 7。

登陸類型8：網絡明文（NetworkCleartext） ：一般發生在IIS 的 ASP登陸。不推薦。

 登陸類型9：新憑證（NewCredentials） ：一般發生在RunAS方式運行某程序時的登陸驗證。

登陸類型10：遠程交互（RemoteInteractive） ：經過終端服務、遠程桌面或遠程協助訪問計算機時，Windows將記爲類型10，以便與真正的控制檯登陸相區別，注意XP以前的版本不支持這種登陸類型，好比Windows2000仍然會把終端服務登陸記爲類型2。 

登陸類型11：緩存交互（CachedInteractive） :在本身網絡以外以域用戶登陸而沒法登陸域控制器時使用緩存登陸。默認狀況下，Windows緩存了最近10次交互式域登陸的憑證HASH，若是之後當你以一個域用戶登陸而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份。 

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！

2、 常見登陸類型日誌分析（以windows2008爲例）

一、本地交互式登陸，也就是咱們天天最常使用的登陸方式。

首先是成功的登陸，從日誌分析來看至少會有2個事件發生，分別爲ID464八、 4624，如下從上至下分別是各自的截圖。

審覈成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登陸

審覈成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登陸

如今來分析下，首先是ID4648事件，該事件說明有人使用身份憑據在嘗試登陸，而且頭字段中的用戶名爲SYSTEM。看看描述信息中有什麼：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4648

任務類別:          登陸

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O （目標機器名）

說明:

試圖使用顯式憑據登陸。（說明有人在嘗試登陸）

 

主題:

安全 ID: SYSTEM

賬戶名: WIN-K7LDM0NKH6O$（主機名加了$後綴）

賬戶域: WORKGROUP  （主機的域名，此例中主機在名稱爲「WORKGROUP」的工做組中）

登陸 ID: 0x3e7

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

使用了哪一個賬戶的憑據:

賬戶名: wrh（登陸使用的用戶名）

賬戶域: WIN-K7LDM0NKH6O （目標賬戶域）

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

目標服務器:

目標服務器名: localhost

附加信息: localhost

 

進程信息:

進程 ID: 0xfb8

進程名: C:\Windows\System32\winlogon.exe

 

網絡信息:

網絡地址: 127.0.0.1

端口: 0

接着是ID4624事件，看看描述信息：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4624

任務類別:          登陸

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已成功登陸賬戶。

 

主題:

安全 ID: SYSTEM

賬戶名: WIN-K7LDM0NKH6O$ （主機名加了$後綴）

賬戶域: WORKGROUP

登陸 ID: 0x3e7

 

登陸類型: 2  （交互式登陸）

新登陸:

安全 ID: WIN-K7LDM0NKH6O\wrh

賬戶名: wrh （登陸的賬戶名稱）

賬戶域: WIN-K7LDM0NKH6O

登陸 ID: 0x51a72

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

進程信息:

進程 ID: 0xfb8

進程名: C:\Windows\System32\winlogon.exe

 

網絡信息:

工做站名: WIN-K7LDM0NKH6O

源網絡地址: 127.0.0.1

源端口: 0

 

詳細身份驗證信息:

登陸進程: User32

身份驗證數據包: Negotiate

傳遞服務: -

數據包名(僅限 NTLM): -

密鑰長度: 0

 

接下來看看失敗的本地登陸。失敗登陸會產生ID爲4625的事件日誌。

審覈失敗 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登陸

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:35:13

事件 ID:         4625

任務類別:          登陸

級別:            信息

關鍵字:           審覈失敗

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

賬戶登陸失敗。

 

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

賬戶名: Administrator

賬戶域: WIN-K7LDM0NKH6O

登陸 ID: 0x1f903

 

登陸類型: 2  （交互式登陸）

 

登陸失敗的賬戶:

安全 ID: NULL SID

賬戶名: wrh （登陸的賬戶名稱）

賬戶域:

 

失敗信息:

失敗緣由: 未知用戶名或密碼錯誤。（失敗緣由）

狀態: 0xc000006e

子狀態: 0xc000006e

 

進程信息:

調用方進程 ID: 0xec0

調用方進程名: C:\Windows\System32\dllhost.exe

 

網絡信息:

工做站名: WIN-K7LDM0NKH6O

源網絡地址: -

源端口: -

 

詳細身份驗證信息:

登陸進程: Advapi  

身份驗證數據包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

傳遞服務: -

數據包名(僅限 NTLM): -

密鑰長度: 0

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！

二、使用RDP協議進行遠程登陸，這也是平常常常遇到的狀況。

使用mstsc遠程登陸某個主機時，使用的賬戶是管理員賬戶的話，成功的狀況下會有ID爲464八、462四、4672的事件產生。首先是成功登陸，以下圖所示，從中能夠看到ID爲4624，審覈成功，登陸類型爲10（遠程交互）。而且描述信息中的主機名（源工做站）仍爲被嘗試登陸主機的主機名，而不是源主機名。

審覈成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登陸

審覈成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登陸

審覈成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登陸

如今來分析下，首先是ID4648事件，該事件說明有人使用身份憑據在嘗試登陸，而且頭字段中的用戶名爲SYSTEM。看看描述信息中有什麼：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4648

任務類別:          登陸

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

試圖使用顯式憑據登陸。

 

主題:

安全 ID: SYSTEM

賬戶名: WIN-K7LDM0NKH6O$

賬戶域: WORKGROUP

登陸 ID: 0x3e7

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

使用了哪一個賬戶的憑據:

賬戶名: Administrator

賬戶域: WIN-K7LDM0NKH6O

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

目標服務器:

目標服務器名: localhost

附加信息: localhost

 

進程信息:

進程 ID: 0xb3c

進程名: C:\Windows\System32\winlogon.exe

 

網絡信息:

網絡地址: 192.168.0.122 （源主機IP地址）

端口: 10898  （源主機端口）

 

接着是ID4624事件，看看描述信息：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4624

任務類別:          登陸

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已成功登陸賬戶。

 

主題:

安全 ID: SYSTEM

賬戶名: WIN-K7LDM0NKH6O$

賬戶域: WORKGROUP

登陸 ID: 0x3e7

 

登陸類型: 10

 

新登陸:

安全 ID: WIN-K7LDM0NKH6O\Administrator

賬戶名: Administrator

賬戶域: WIN-K7LDM0NKH6O

登陸 ID: 0xa93db

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

進程信息:

進程 ID: 0xb3c

進程名: C:\Windows\System32\winlogon.exe

 

網絡信息:

工做站名: WIN-K7LDM0NKH6O

源網絡地址: 192.168.0.122

源端口: 10898

 

詳細身份驗證信息:

登陸進程: User32

身份驗證數據包: Negotiate

傳遞服務: -

數據包名(僅限 NTLM): -

密鑰長度: 0

從這裏能夠看出和本地登陸至少有3個地方不同，首先登陸類型的ID爲10，說明是遠程交互式登陸，其次是源網絡地址和源端口。

再來看看ID4672，特殊登陸事件：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4672

任務類別:          特殊登陸

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

爲新登陸分配了特殊權限。

 

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

賬戶名: Administrator

賬戶域: WIN-K7LDM0NKH6O

登陸 ID: 0xa93db

 

特權: SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

全部爲登陸進程分配特殊權限的操做都屬於「特殊登陸」事件。特殊權限是指，賬戶域WIN-K7LDM0NKH6O下的全部特權賬戶，用戶沒法使用這些特權賬戶登陸系統，這些賬戶是留給系統服務進程執行特權操做用的。

接下來看看失敗的RDP協議登陸。失敗登陸會產生ID爲4625的事件日誌。

審覈失敗 2016/9/23 16:57:50 Microsoft Windows security auditing. 4625 登陸

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:50

事件 ID:         4625

任務類別:          登陸

級別:            信息

關鍵字:           審覈失敗

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

賬戶登陸失敗。

 

主題:

安全 ID: SYSTEM

賬戶名: WIN-K7LDM0NKH6O$

賬戶域: WORKGROUP

登陸 ID: 0x3e7

 

登陸類型: 10

 

登陸失敗的賬戶:

安全 ID: NULL SID

賬戶名: Administrator

賬戶域: WIN-K7LDM0NKH6O

 

失敗信息:

失敗緣由: 未知用戶名或密碼錯誤。

狀態: 0xc000006d

子狀態: 0xc000006a

 

進程信息:

調用方進程 ID: 0xb3c

調用方進程名: C:\Windows\System32\winlogon.exe

 

網絡信息:

工做站名: WIN-K7LDM0NKH6O

源網絡地址: 192.168.0.122

源端口: 10898

 

詳細身份驗證信息:

登陸進程: User32

身份驗證數據包: Negotiate

傳遞服務: -

數據包名(僅限 NTLM): -

密鑰長度: 0

使用不存在的用戶名和錯誤密碼分別登陸失敗，ID爲4625，登陸類型爲10（遠程交互）。審覈失敗，列出了登陸失敗的帳戶名和失敗緣由。

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！

三、遠程訪問某臺主機的共享資源，如某個共享文件夾。

首先是使用正確的用戶名和密碼訪問遠程共享主機，登陸事件ID爲4624，登陸類型爲3（Network），審覈成功。列出了源網絡地址和端口。

審覈成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登陸

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         4624

任務類別:          登陸

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已成功登陸賬戶。

 

主題:

安全 ID: NULL SID

賬戶名: -

賬戶域: -

登陸 ID: 0x0

 

登陸類型: 3

 

新登陸:

安全 ID: ANONYMOUS LOGON

賬戶名: ANONYMOUS LOGON

賬戶域: NT AUTHORITY

登陸 ID: 0x6ae53

登陸 GUID: {00000000-0000-0000-0000-000000000000}

 

進程信息:

進程 ID: 0x0

進程名: -

 

網絡信息:

工做站名: CHINA-CE675F3BC

源網絡地址: 192.168.0.122

源端口: 10234

 

詳細身份驗證信息:

登陸進程: NtLmSsp

身份驗證數據包: NTLM

傳遞服務: -

數據包名(僅限 NTLM): NTLM V1

密鑰長度: 0

若是訪問共享資源使用的賬戶名、密碼正確，可是該用戶對指定的共享文件夾沒有訪問權限時仍然會有ID爲4624的認證成功事件產生。

 

接下來的是事件ID爲5140的文件共享日誌，顯示了訪問的共享文件夾名稱。

審覈成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         5140

任務類別:          文件共享

級別:            信息

關鍵字:           審覈成功

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已訪問網絡共享對象。

 

主題:

安全 ID: WIN-K7LDM0NKH6O\wrh

賬戶名稱: wrh

賬戶域: WIN-K7LDM0NKH6O

登陸 ID: 0x6ae28

 

網絡信息:

源地址: 192.168.0.122

源端口: 10234

 

共享名稱: \\*\wrh

 

再來看看共享訪問登陸失敗事件ID4625的日誌信息：

審覈失敗 2016/9/23 15:15:12 Microsoft Windows security auditing. 4625 登陸

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 15:15:12

事件 ID:         4625

任務類別:          登陸

級別:            信息

關鍵字:           審覈失敗

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

賬戶登陸失敗。

 

主題:

安全 ID: NULL SID

賬戶名: -

賬戶域: -

登陸 ID: 0x0

 

登陸類型: 3

 

登陸失敗的賬戶:

安全 ID: NULL SID

賬戶名: administrator

賬戶域: WIN-K7LDM0NKH6O

 

失敗信息:

失敗緣由: 未知用戶名或密碼錯誤。

狀態: 0xc000006d

子狀態: 0xc000006a

 

進程信息:

調用方進程 ID: 0x0

調用方進程名: -

 

網絡信息:

工做站名: CHINA-CE675F3BC

源網絡地址: 192.168.0.122

源端口: 9323

 

詳細身份驗證信息:

登陸進程: NtLmSsp

身份驗證數據包: NTLM

傳遞服務: -

數據包名(僅限 NTLM): -

密鑰長度: 0

 

同RDP協議遠程登陸，使用不存在的用戶名和錯誤密碼分別登陸失敗，ID爲4625，登陸類型爲3（網絡）。審覈失敗，列出了登陸失敗的帳戶名和失敗緣由。

4、解鎖登陸

解鎖登陸和遠程登陸同樣，成功的狀況下會有ID爲464八、462四、4672的事件產生。首先是成功登陸，以下圖所示，從中能夠看到ID爲4624，審覈成功，登陸類型爲7（Unlock）。

審覈成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登陸

審覈成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登陸

審覈成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登陸

 

接下來看看失敗的解鎖登陸。一樣，失敗登陸會產生ID爲4625的事件日誌。

審覈失敗 2016/9/23 16:28:35 Microsoft Windows security auditing. 4625 登陸

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:28:35

事件 ID:         4625

任務類別:          登陸

級別:            信息

關鍵字:           審覈失敗

用戶:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

賬戶登陸失敗。

 

主題:

安全 ID: SYSTEM

賬戶名: WIN-K7LDM0NKH6O$

賬戶域: WORKGROUP

登陸 ID: 0x3e7

 

登陸類型: 7

登陸失敗的賬戶:

安全 ID: NULL SID

賬戶名: Administrator

賬戶域: WIN-K7LDM0NKH6O

 

失敗信息:

失敗緣由: 未知用戶名或密碼錯誤。

狀態: 0xc000006d

子狀態: 0xc000006a

 

進程信息:

調用方進程 ID: 0x204

調用方進程名: C:\Windows\System32\winlogon.exe

 

網絡信息:

工做站名: WIN-K7LDM0NKH6O

源網絡地址: 192.168.0.122

源端口: 10156

 

詳細身份驗證信息:

登陸進程: User32

身份驗證數據包: Negotiate

傳遞服務: -

數據包名(僅限 NTLM): -

密鑰長度: 0

 

一樣，使用不存在的用戶名和錯誤密碼分別登陸失敗，ID爲4625，登陸類型爲7（unlock）。審覈失敗，列出了登陸失敗的帳戶名和失敗緣由。

 

    最後咱們總結一下「審計登陸」事件：

· 在進程嘗試經過顯式指定賬戶的憑據來登陸該賬戶時生成4648事件。

· 成功的登陸一般會有4624事件產生，在建立登陸會話後在被訪問的計算機上生成此事件。

· 若是用戶有特權會有4672事件產生。

· 一般狀況下只需關注登陸類型爲二、三、七、10類型的4625登陸失敗事件。

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！