不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。
登录类型2:交互式登录(Interactive)
这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。
登录类型3:网络(Network)
当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。
登录类型4:批处理(Batch)
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。
登录类型5:服务(Service)
与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5,失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够的能力来干他的坏事了,已经用不着费力来猜测服务密码了。
登录类型7:解锁(Unlock)
你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
登录类型8:网络明文(NetworkCleartext)
这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
登录类型9:新凭证(NewCredentials)
当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它,但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9,如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。
登录类型10:远程交互(RemoteInteractive)
当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登录相区别,注意XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。
登录类型11:缓存交互(CachedInteractive)
Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能,默认情况下,Windows缓存了最近10次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
上面讲了Windows的登录类型,但默认情况下Windows2000是没有记录安全日志的,你必须先启用组策略“计算机配置/Windows设置/安全设置/本地策略/审核策略”下的“审核登录事件”才能看到上面的记录信息。希望这些详细的记录信息有助于大家更好地掌握系统情况,维护网络安定。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪日志中的秘密 Windows登录类型知多少?
不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登.........
▪为应用程序池 'DefaultAppPool' 提供服务的进程关闭时间超过了限制
解决方法如下: Internet 信息服务(IIS)管理器->应用程序池->DefaultAppPool->右击属性 一、回收 1、回收工作进程(分钟):选中,值为1740 2、回收工作进程(请求数目):不选(原先设.........
▪为应用程序池 'DefaultAppPool' 提供服务的进程意外终止。进程 ID 是 '3160'问题的解决方法
网上提供了很多办法,都未解决。 解决过程一波三折,依次用了下列方法: 1、解决办法 点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项, .........
[1]日志中的秘密 Windows登录类型知多少?
来源: 互联网 发布时间: 2013-12-24
[2]为应用程序池 'DefaultAppPool' 提供服务的进程关闭时间超过了限制
来源: 互联网 发布时间: 2013-12-24
解决方法如下:
Internet 信息服务(IIS)管理器->应用程序池->DefaultAppPool->右击属性
一、回收
1、回收工作进程(分钟):选中,值为1740
2、回收工作进程(请求数目):不选(原先设置为35000)
3、在下列时间回收工作进程:不填
4、消耗太多内存时回收工作进程:全不选。(2、3、4项可能避免了在访问量高的时候强制回收进程可能引发的服务器响应问题,导致iis假死不响应)
二、性能
只选中空闲超时20分钟。其他都不选。WEB园最大工作进程数为1(默认)。注意web园这里一定要保持默认,如果填写其他超过1的数字就会导致一些网站程序的后台程序打不开或者刷新不停。
原来的请求队列限制为4000,现在无限制。
三、运行状况
前两项都起用,是原来的默认设置。启动时间限制90秒,关闭时间限制180秒。
启动快速失败保护的钩去掉!
为了避免真的遇到很多错误时没有提示,可以不关闭,只是把快速保护的保护范围加大些,例如失败数50次 时间段5分钟 则关闭对应的程序。
“关闭时间限制180秒”是必须的,因为进程关闭的时间,原来为90秒限制,是默认值,如果进程关闭时间超过90秒,则认为超时,从而出现:进程关闭时间超过了限制 日志,所以,适当延长这个时间,可以避免这种错误
第2种方法:
原因:独立进程的 内存堆戋消耗完了,IIS不能创建更多的进程工作空间来处理
解决方法:
1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC
2. 在Parameters键下新建一个DWORD项,名字为:UseSharedWPDesktop 值为1 重启IIS
第3种
问题已解决,发现是数据库连接无法释放,不知道是什么原因,同样的代码在本地就是好的,在服务器端就有问题,最后在连接串里加入以下语句解决问题.
Pooling=true; MAX Pool Size=512;Min Pool Size=50;Connection Lifetime=30
第4种
新建应用程序池,不同的网站引用不同程序池。
Internet 信息服务(IIS)管理器->应用程序池->DefaultAppPool->右击属性
一、回收
1、回收工作进程(分钟):选中,值为1740
2、回收工作进程(请求数目):不选(原先设置为35000)
3、在下列时间回收工作进程:不填
4、消耗太多内存时回收工作进程:全不选。(2、3、4项可能避免了在访问量高的时候强制回收进程可能引发的服务器响应问题,导致iis假死不响应)
二、性能
只选中空闲超时20分钟。其他都不选。WEB园最大工作进程数为1(默认)。注意web园这里一定要保持默认,如果填写其他超过1的数字就会导致一些网站程序的后台程序打不开或者刷新不停。
原来的请求队列限制为4000,现在无限制。
三、运行状况
前两项都起用,是原来的默认设置。启动时间限制90秒,关闭时间限制180秒。
启动快速失败保护的钩去掉!
为了避免真的遇到很多错误时没有提示,可以不关闭,只是把快速保护的保护范围加大些,例如失败数50次 时间段5分钟 则关闭对应的程序。
“关闭时间限制180秒”是必须的,因为进程关闭的时间,原来为90秒限制,是默认值,如果进程关闭时间超过90秒,则认为超时,从而出现:进程关闭时间超过了限制 日志,所以,适当延长这个时间,可以避免这种错误
第2种方法:
原因:独立进程的 内存堆戋消耗完了,IIS不能创建更多的进程工作空间来处理
解决方法:
1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC
2. 在Parameters键下新建一个DWORD项,名字为:UseSharedWPDesktop 值为1 重启IIS
第3种
问题已解决,发现是数据库连接无法释放,不知道是什么原因,同样的代码在本地就是好的,在服务器端就有问题,最后在连接串里加入以下语句解决问题.
Pooling=true; MAX Pool Size=512;Min Pool Size=50;Connection Lifetime=30
第4种
新建应用程序池,不同的网站引用不同程序池。
[3]为应用程序池 'DefaultAppPool' 提供服务的进程意外终止。进程 ID 是 '3160'问题的解决方法
来源: 互联网 发布时间: 2013-12-24
网上提供了很多办法,都未解决。
解决过程一波三折,依次用了下列方法:
1、解决办法 点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项, 选择其下的“IIS ADMIN SERVICE”,右健选择“属性”,找到“安全”,在“启动和激活权限”中编辑“自定义”,添加帐号“Network Service”, 给该帐号赋予“本地启动”和“本地激活”的权限,重新启动IIS,(点“开始”-“运行”-“CMD”,点确定,然后运行IISRESET)
注:没有能够解决
2、IIS 500错误报“进程退出代码是 ‘0xffffffff'”的处理方案
(此故障只针对windows 2003系统)
故障现象:
1.IIS里面所有的网站访问都是500 错误。进程池启动后,访问服务器的网站,进程池马上自动关闭。
2.系统日志报错:“应用程序池 ‘AppPool #1' 被自动禁用,原因是为此应用程序池提供服务的进程中出现一系列错误。”
3.系统日志警告:“为应用程序池 ‘AppPool #1' 提供服务的进程意外终止。进程 ID 是 ‘3968'。进程退出代码是 ‘0xffffffff'。”
注:应用程序池名就是IIS本机的应用程序池,与进程ID是随机的
处理方案:
卸载microsoft 2010-6-9号补丁 ,卸载时要注意顺序以及关联性,如卸载某个补丁时,提示有补丁要调用这个补丁时,要先卸载关联补丁。
卸载顺序:
1.KB982381 ---》IE7
2.KB982666
3.KB980218
4.KB979482 Asycfilt.dll (COM 组件)的安全更新
注:没有能够解决
3、windows 2003 补丁 KB982666
可能会导致 iis 应用程序池 无法启动
进程退出代码是 0xffffffff
卸载KB982666 既可
注:没有能够解决
4、这里提供一个笨办法,重装2003 sp2补丁包,即可解决
分析原因,可能是IIS设置错误或者文件损坏导致不能正常使用,重装SP2补丁包,起到了修复作用。
具体原因错误,尚未查到。
注:问题解决
解决过程一波三折,依次用了下列方法:
1、解决办法 点击“开始”-“控制面板”-“管理工具”-“组件服务”-“计算机”-“我的电脑”-“DCOM”选项, 选择其下的“IIS ADMIN SERVICE”,右健选择“属性”,找到“安全”,在“启动和激活权限”中编辑“自定义”,添加帐号“Network Service”, 给该帐号赋予“本地启动”和“本地激活”的权限,重新启动IIS,(点“开始”-“运行”-“CMD”,点确定,然后运行IISRESET)
注:没有能够解决
2、IIS 500错误报“进程退出代码是 ‘0xffffffff'”的处理方案
(此故障只针对windows 2003系统)
故障现象:
1.IIS里面所有的网站访问都是500 错误。进程池启动后,访问服务器的网站,进程池马上自动关闭。
2.系统日志报错:“应用程序池 ‘AppPool #1' 被自动禁用,原因是为此应用程序池提供服务的进程中出现一系列错误。”
3.系统日志警告:“为应用程序池 ‘AppPool #1' 提供服务的进程意外终止。进程 ID 是 ‘3968'。进程退出代码是 ‘0xffffffff'。”
注:应用程序池名就是IIS本机的应用程序池,与进程ID是随机的
处理方案:
卸载microsoft 2010-6-9号补丁 ,卸载时要注意顺序以及关联性,如卸载某个补丁时,提示有补丁要调用这个补丁时,要先卸载关联补丁。
卸载顺序:
1.KB982381 ---》IE7
2.KB982666
3.KB980218
4.KB979482 Asycfilt.dll (COM 组件)的安全更新
注:没有能够解决
3、windows 2003 补丁 KB982666
可能会导致 iis 应用程序池 无法启动
进程退出代码是 0xffffffff
卸载KB982666 既可
注:没有能够解决
4、这里提供一个笨办法,重装2003 sp2补丁包,即可解决
分析原因,可能是IIS设置错误或者文件损坏导致不能正常使用,重装SP2补丁包,起到了修复作用。
具体原因错误,尚未查到。
注:问题解决
最新技术文章: