Windows 日志审核策略：审核账号登录事件

Windows 9个审核类别

在Windows 系统中，Windows 有九个事件日志审核策略类别：

• 帐户登录事件
• 帐户管理
• 目录服务访问
• 登录事件
• 对象访问
• 策略更改
• 特权使用
• 进程跟踪
• 系统事件

这九个审核类别构成了审核策略。 可以针对“成功”、“失败”或“成功和失败”事件启用每种审核策略类别。

审核策略类别说明

审核帐户登录事件

审核帐户登录事件是Windows操作系统中的一项安全审计功能，它允许系统管理员跟踪和记录与用户账户登录相关的所有成功或失败尝试。

当启用这一功能后，系统会生成详细的日志记录，并将这些信息存储在Windows的事件查看器（Event Viewer）的安全日志中。

审核帐户登录事件包括但不限于以下内容：

1. 成功登录：记录了何时何地有哪个用户成功登录到计算机或域控制器。这可以帮助识别正常的工作时间、异常登录行为以及潜在的合法用户活动。
   
2. 失败登录：记录了未授权或无效的登录尝试，包括错误的用户名、密码输入，或者由于网络问题导致的登录失败等。这对于检测潜在的安全威胁，如暴力破解攻击或未经授权的访问尝试非常有用。
   
3. 登录类型：记录登录事件的类型，比如本地交互式登录（即用户直接在计算机上登录）、网络登录、服务登录或其他类型的登录。

Logon Information:

Logon Type: 2

Restricted Admin Mode: -

Virtual Account: Yes

Elevated Token: Yes

Interactive (2):这种类型的登录发生在用户直接与计算机交互时，例如通过键盘和显示器在本地计算机上输入用户名和密码进行登录。

5. 来源：记录登录请求的来源，可能是一个工作站、服务器、远程桌面连接或其他可信源。
6. 其他相关数据：可能还包括登录的时间戳、使用的认证协议、登录过程中的错误代码及描述等详细信息。
   

启用审核账户登录类别会生成大量“干扰性信息”，因为在正常使用期间，Windows 上会不断发生帐户登录到本地和远程计算机以及从中注销的活动。

Windows 登录类型

在Windows操作系统中，登录类型（Logon Type）用于标识用户账户通过何种方式登录到系统。以下是几种常见的Windows Logon Type：

1. Interactive (2):
   • 这种类型的登录发生在用户直接与计算机交互时，例如通过键盘和显示器在本地计算机上输入用户名和密码进行登录。
2. Network (3):
   • 网络登录，指的是用户通过网络资源访问（如共享文件夹或打印机）或远程桌面等方式登录到系统。
3. Batch (4):
   • 批处理登录，当Windows计划任务服务为执行计划任务而创建新的登录会话时发生。批处理作业通常以特定用户账户的身份运行。
4. Service (5):
   • 服务登录，指系统启动或重启过程中，或者当一个服务启动时，由系统为其创建的登录会话，以便服务能在指定的用户账户下运行。
     
5. Unlock (7):
   • 屏幕解锁登录，当用户从锁定屏幕解锁计算机时产生。
6. NetworkCleartext (8):
   • 使用明文网络验证的登录，这种登录在网络传输过程中未加密。
7. NewCredentials (9):
   • 新凭据登录，也称为“RunAs”操作，即用户使用不同的凭据启动一个新的进程或访问网络资源。
8. RemoteInteractive (10):
   • 远程交互式登录，包括了远程桌面协议（RDP）连接和终端服务登录。
9. CachedInteractive (11):
   • 缓存交互式登录，当用户无法连接域控制器时，使用缓存在本地计算机上的凭证登录。
10. CredentialUIPrompt (12):
    • 凭证提示符登录，当系统需要额外凭据来完成身份验证时（例如，UAC提示符）。

这些登录类型帮助系统管理员在审核安全日志时识别不同类型的登录行为及其安全性，并能够根据登录类型分析潜在的安全风险或合规性要求。