一、 Windows登入型別

Windows登入型別對應含義如下表：

型別ID	登入方式	描述資訊
2	Interactive	A user logged on to this computer at the console
3	Network	A user or computer logged on to this computer from the network
4	Batch	Batch logon type is used by batch servers, where processes might run on behalf of a user without the user’s direct intervention
5	Service	A service was started by the Service Control Manager
7	Unlock	This workstation was unlocked
8	NetworkCleartext	A user logged on to a network and the user password was passed to the authentication package in its unhashed (plain text) form. It is possible that the unhashed password was passed across the network, for example, when IIS performed basic authentication
9	NewCredentials	A caller (process, thread, or program) cloned its current token and specified new credentials for outbound connections. The new logon session has the same local identity, but it uses different credentials for other network connections.
10	RemoteInteractive	A user logged on to this computer remotely using Terminal Services or a Remote Desktop connection.
11	CachedInteractive	A user logged on to this computer with network credentials that were stored locally on the computer. The domain controller was not contacted to verify the credentials

登入型別2：互動式登入（Interactive）： 就是指使用者在計算機的控制檯上進行的登入，也就是在本地鍵盤上進行的登入。

登入型別3：網路（Network）： 最常見的是訪問網路共享資料夾或印表機。另外大多數情況下通過網路登入IIS時也被記為這種型別，但基本驗證方式的IIS登入是個例外，它將被記為型別8。

登入型別4：批處理（Batch） ：當Windows執行一個計劃任務時，“計劃任務服務”將為這個任務首先建立一個新的登入會話以便它能在此計劃任務所配置的使用者賬戶下執行，當這種登入出現時，Windows在日誌中記為型別4，對於其它型別的工作任務系統，依賴於它的設計，也可以在開始工作時產生型別4的登入事件，型別4登入通常表明某計劃任務啟動，但也可能是一個惡意使用者通過計劃任務來猜測使用者密碼，這種嘗試將產生一個型別4的登入失敗事件，但是這種失敗登入也可能是由於計劃任務的使用者密碼沒能同步更改造成的，比如使用者密碼更改了，而忘記了在計劃任務中進行更改。 

登入型別5：服務（Service） ：與計劃任務類似，每種服務都被配置在某個特定的使用者賬戶下執行，當一個服務開始時，Windows首先為這個特定的使用者建立一個登入會話，這將被記為型別5，失敗的型別5通常表明使用者的密碼已變而這裡沒得到更新。 

登入型別7：解鎖（Unlock） ：很多公司都有這樣的安全設定：當用戶離開螢幕一段時間後，屏保程式會鎖定計算機螢幕。解開螢幕鎖定需要鍵入使用者名稱和密碼。此時產生的日誌型別就是Type 7。

登入型別8：網路明文（NetworkCleartext） ：通常發生在IIS 的 ASP登入。不推薦。

 登入型別9：新憑證（NewCredentials） ：通常發生在RunAS方式執行某程式時的登入驗證。

登入型別10：遠端互動（RemoteInteractive） ：通過終端服務、遠端桌面或遠端協助訪問計算機時，Windows將記為型別10，以便與真正的控制檯登入相區別，注意XP之前的版本不支援這種登入型別，比如Windows2000仍然會把終端服務登入記為型別2。 

登入型別11：快取互動（CachedInteractive） :在自己網路之外以域使用者登入而無法登入域控制器時使用快取登入。預設情況下，Windows快取了最近10次互動式域登入的憑證HASH，如果以後當你以一個域使用者登入而又沒有域控制器可用時，Windows將使用這些HASH來驗證你的身份。 

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！

二、 常見登入型別日誌分析（以windows2008為例）

1、本地互動式登入，也就是我們每天最常使用的登入方式。

首先是成功的登入，從日誌分析來看至少會有2個事件發生，分別為ID4648、 4624，以下從上至下分別是各自的截圖。

稽核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登入

稽核成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登入

現在來分析下，首先是ID4648事件，該事件說明有人使用身份憑據在嘗試登入，並且頭欄位中的使用者名稱為SYSTEM。看看描述資訊中有什麼：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4648

任務類別:          登入

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O （目標機器名）

說明:

試圖使用顯式憑據登入。（說明有人在嘗試登入）

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$（主機名加了$字尾）

帳戶域: WORKGROUP  （主機的域名，此例中主機在名稱為“WORKGROUP”的工作組中）

登入 ID: 0x3e7

登入 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個帳戶的憑據:

帳戶名: wrh（登入使用的使用者名稱）

帳戶域: WIN-K7LDM0NKH6O （目標帳戶域）

登入 GUID: {00000000-0000-0000-0000-000000000000}

目標伺服器:

目標伺服器名: localhost

附加資訊: localhost

程序資訊:

程序 ID: 0xfb8

程序名: C:\Windows\System32\winlogon.exe

網路資訊:

網路地址: 127.0.0.1

埠: 0

接著是ID4624事件，看看描述資訊：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:36:12

事件 ID:         4624

任務類別:          登入

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已成功登入帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$ （主機名加了$字尾）

帳戶域: WORKGROUP

登入 ID: 0x3e7

登入型別: 2  （互動式登入）

新登入:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名: wrh （登入的帳戶名稱）

帳戶域: WIN-K7LDM0NKH6O

登入 ID: 0x51a72

登入 GUID: {00000000-0000-0000-0000-000000000000}

程序資訊:

程序 ID: 0xfb8

程序名: C:\Windows\System32\winlogon.exe

網路資訊:

工作站名: WIN-K7LDM0NKH6O

源網路地址: 127.0.0.1

源埠: 0

詳細身份驗證資訊:

登入程序: User32

身份驗證資料包: Negotiate

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

接下來看看失敗的本地登入。失敗登入會產生ID為4625的事件日誌。

稽核失敗 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登入

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 10:35:13

事件 ID:         4625

任務類別:          登入

級別:            資訊

關鍵字:           稽核失敗

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

帳戶登入失敗。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登入 ID: 0x1f903

登入型別: 2  （互動式登入）

登入失敗的帳戶:

安全 ID: NULL SID

帳戶名: wrh （登入的帳戶名稱）

帳戶域:

失敗資訊:

失敗原因: 未知使用者名稱或密碼錯誤。（失敗原因）

狀態: 0xc000006e

子狀態: 0xc000006e

程序資訊:

呼叫方程序 ID: 0xec0

呼叫方程序名: C:\Windows\System32\dllhost.exe

網路資訊:

工作站名: WIN-K7LDM0NKH6O

源網路地址: -

源埠: -

詳細身份驗證資訊:

登入程序: Advapi  

身份驗證資料包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！

2、使用RDP協議進行遠端登入，這也是日常經常遇到的情況。

使用mstsc遠端登入某個主機時，使用的帳戶是管理員帳戶的話，成功的情況下會有ID為4648、4624、4672的事件產生。首先是成功登入，如下圖所示，從中可以看到ID為4624，稽核成功，登入型別為10（遠端互動）。並且描述資訊中的主機名（源工作站）仍為被嘗試登入主機的主機名，而不是源主機名。

稽核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登入

稽核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登入

稽核成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登入

現在來分析下，首先是ID4648事件，該事件說明有人使用身份憑據在嘗試登入，並且頭欄位中的使用者名稱為SYSTEM。看看描述資訊中有什麼：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4648

任務類別:          登入

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

試圖使用顯式憑據登入。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登入 ID: 0x3e7

登入 GUID: {00000000-0000-0000-0000-000000000000}

使用了哪個帳戶的憑據:

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登入 GUID: {00000000-0000-0000-0000-000000000000}

目標伺服器:

目標伺服器名: localhost

附加資訊: localhost

程序資訊:

程序 ID: 0xb3c

程序名: C:\Windows\System32\winlogon.exe

網路資訊:

網路地址: 192.168.0.122 （源主機IP地址）

埠: 10898  （源主機埠）

接著是ID4624事件，看看描述資訊：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4624

任務類別:          登入

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已成功登入帳戶。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登入 ID: 0x3e7

登入型別: 10

新登入:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登入 ID: 0xa93db

登入 GUID: {00000000-0000-0000-0000-000000000000}

程序資訊:

程序 ID: 0xb3c

程序名: C:\Windows\System32\winlogon.exe

網路資訊:

工作站名: WIN-K7LDM0NKH6O

源網路地址: 192.168.0.122

源埠: 10898

詳細身份驗證資訊:

登入程序: User32

身份驗證資料包: Negotiate

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

從這裡可以看出和本地登入至少有3個地方不一樣，首先登入型別的ID為10，說明是遠端互動式登入，其次是源網路地址和源埠。

再來看看ID4672，特殊登入事件：

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:55

事件 ID:         4672

任務類別:          特殊登入

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

為新登入分配了特殊許可權。

主題:

安全 ID: WIN-K7LDM0NKH6O\Administrator

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

登入 ID: 0xa93db

特權: SeSecurityPrivilege

SeTakeOwnershipPrivilege

SeLoadDriverPrivilege

SeBackupPrivilege

SeRestorePrivilege

SeDebugPrivilege

SeSystemEnvironmentPrivilege

SeImpersonatePrivilege

所有為登入程序分配特殊許可權的操作都屬於“特殊登入”事件。特殊許可權是指，帳戶域WIN-K7LDM0NKH6O下的所有特權帳戶，使用者無法使用這些特權帳戶登入系統，這些帳戶是留給系統服務程序執行特權操作用的。

接下來看看失敗的RDP協議登入。失敗登入會產生ID為4625的事件日誌。

稽核失敗 2016/9/23 16:57:50 Microsoft Windows security auditing. 4625 登入

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:57:50

事件 ID:         4625

任務類別:          登入

級別:            資訊

關鍵字:           稽核失敗

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

帳戶登入失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登入 ID: 0x3e7

登入型別: 10

登入失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗資訊:

失敗原因: 未知使用者名稱或密碼錯誤。

狀態: 0xc000006d

子狀態: 0xc000006a

程序資訊:

呼叫方程序 ID: 0xb3c

呼叫方程序名: C:\Windows\System32\winlogon.exe

網路資訊:

工作站名: WIN-K7LDM0NKH6O

源網路地址: 192.168.0.122

源埠: 10898

詳細身份驗證資訊:

登入程序: User32

身份驗證資料包: Negotiate

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

使用不存在的使用者名稱和錯誤密碼分別登入失敗，ID為4625，登入型別為10（遠端互動）。稽核失敗，列出了登入失敗的賬戶名和失敗原因。

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！

3、遠端訪問某臺主機的共享資源，如某個共享資料夾。

首先是使用正確的使用者名稱和密碼訪問遠端共享主機，登入事件ID為4624，登入型別為3（Network），稽核成功。列出了源網路地址和埠。

稽核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登入

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         4624

任務類別:          登入

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已成功登入帳戶。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登入 ID: 0x0

登入型別: 3

新登入:

安全 ID: ANONYMOUS LOGON

帳戶名: ANONYMOUS LOGON

帳戶域: NT AUTHORITY

登入 ID: 0x6ae53

登入 GUID: {00000000-0000-0000-0000-000000000000}

程序資訊:

程序 ID: 0x0

程序名: -

網路資訊:

工作站名: CHINA-CE675F3BC

源網路地址: 192.168.0.122

源埠: 10234

詳細身份驗證資訊:

登入程序: NtLmSsp

身份驗證資料包: NTLM

傳遞服務: -

資料包名(僅限 NTLM): NTLM V1

金鑰長度: 0

如果訪問共享資源使用的帳戶名、密碼正確，但是該使用者對指定的共享資料夾沒有訪問許可權時仍然會有ID為4624的認證成功事件產生。

接下來的是事件ID為5140的檔案共享日誌，顯示了訪問的共享資料夾名稱。

稽核成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 檔案共享

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:14:15

事件 ID:         5140

任務類別:          檔案共享

級別:            資訊

關鍵字:           稽核成功

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

已訪問網路共享物件。

主題:

安全 ID: WIN-K7LDM0NKH6O\wrh

帳戶名稱: wrh

帳戶域: WIN-K7LDM0NKH6O

登入 ID: 0x6ae28

網路資訊:

源地址: 192.168.0.122

源埠: 10234

再來看看共享訪問登入失敗事件ID4625的日誌資訊：

稽核失敗 2016/9/23 15:15:12 Microsoft Windows security auditing. 4625 登入

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 15:15:12

事件 ID:         4625

任務類別:          登入

級別:            資訊

關鍵字:           稽核失敗

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

帳戶登入失敗。

主題:

安全 ID: NULL SID

帳戶名: -

帳戶域: -

登入 ID: 0x0

登入型別: 3

登入失敗的帳戶:

安全 ID: NULL SID

帳戶名: administrator

帳戶域: WIN-K7LDM0NKH6O

失敗資訊:

失敗原因: 未知使用者名稱或密碼錯誤。

狀態: 0xc000006d

子狀態: 0xc000006a

程序資訊:

呼叫方程序 ID: 0x0

呼叫方程序名: -

網路資訊:

工作站名: CHINA-CE675F3BC

源網路地址: 192.168.0.122

源埠: 9323

詳細身份驗證資訊:

登入程序: NtLmSsp

身份驗證資料包: NTLM

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

同RDP協議遠端登入，使用不存在的使用者名稱和錯誤密碼分別登入失敗，ID為4625，登入型別為3（網路）。稽核失敗，列出了登入失敗的賬戶名和失敗原因。

4、解鎖登入

解鎖登入和遠端登入一樣，成功的情況下會有ID為4648、4624、4672的事件產生。首先是成功登入，如下圖所示，從中可以看到ID為4624，稽核成功，登入型別為7（Unlock）。

稽核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登入

稽核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登入

稽核成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登入

 

接下來看看失敗的解鎖登入。同樣，失敗登入會產生ID為4625的事件日誌。

稽核失敗 2016/9/23 16:28:35 Microsoft Windows security auditing. 4625 登入

 

日誌名稱:          Security

來源:            Microsoft-Windows-Security-Auditing

日期:            2016/9/23 16:28:35

事件 ID:         4625

任務類別:          登入

級別:            資訊

關鍵字:           稽核失敗

使用者:            暫缺

計算機:           WIN-K7LDM0NKH6O

說明:

帳戶登入失敗。

主題:

安全 ID: SYSTEM

帳戶名: WIN-K7LDM0NKH6O$

帳戶域: WORKGROUP

登入 ID: 0x3e7

登入型別: 7

登入失敗的帳戶:

安全 ID: NULL SID

帳戶名: Administrator

帳戶域: WIN-K7LDM0NKH6O

失敗資訊:

失敗原因: 未知使用者名稱或密碼錯誤。

狀態: 0xc000006d

子狀態: 0xc000006a

程序資訊:

呼叫方程序 ID: 0x204

呼叫方程序名: C:\Windows\System32\winlogon.exe

網路資訊:

工作站名: WIN-K7LDM0NKH6O

源網路地址: 192.168.0.122

源埠: 10156

詳細身份驗證資訊:

登入程序: User32

身份驗證資料包: Negotiate

傳遞服務: -

資料包名(僅限 NTLM): -

金鑰長度: 0

同樣，使用不存在的使用者名稱和錯誤密碼分別登入失敗，ID為4625，登入型別為7（unlock）。稽核失敗，列出了登入失敗的賬戶名和失敗原因。

    最後我們總結一下“審計登入”事件：

· 在程序嘗試通過顯式指定帳戶的憑據來登入該帳戶時生成4648事件。

· 成功的登入通常會有4624事件產生，在建立登入會話後在被訪問的計算機上生成此事件。

· 如果使用者有特權會有4672事件產生。

· 通常情況下只需關注登入型別為2、3、7、10型別的4625登入失敗事件。

本文由賽克藍德(secisland)原創，轉載請標明出處，感謝！