抢滩“登录”战 Windows登录类型揭秘

开篇：润墨网以专业的文秘视角，为您筛选了一篇抢滩“登录”战 Windows登录类型揭秘范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

你可曾想过，除了你自己之外，还会有别人在偷偷上你的电脑？别以为这种事不可能发生在自己身上，看看登录日志，可疑的登录行为就能让你抓住坏蛋的踪影。

如何开启登录日志

运行gpedit.msc打开组策略编辑器(windows XP家庭版没有此功能)，点开分支“计算机配置Windows设置安全设置本地策略审核策略”，然后在右侧窗格中双击打开“审核登录事件”，在弹出窗口中勾选“成功”、“失败”(见图)。

如何检查系统日志

右击“我的电脑”选择“管理”(或者打开“控制面板管理工具”)，点开左侧分支“系统工具事件查看器安全性”，在右侧就能看到系统记录下的登录行为，双击可以查看详细，其中的“登录类型”信息就是我们要跟踪的目标(见图)。

交互式登录(Interactive)登录类型:2

我们平时开机后输入用户名密码就是此类型，通过此事件的记录时间可以检查你不在时是否有人登录过你的电脑。另外，使用Windows XP的远程桌面登录和域方式登录也记录为交互式登录。

网络(Network) 登录类型:3

如果有人连接你的共享文件夹或共享打印机，那他也将被记录下来。在局域网中经常会出现某些用户穷举某台电脑的共享密码的情况，从这个类型的登录事件中我们就能发现端倪，如果某个用户在一段时间内频繁出现登录失败的事件，那就极有可能是有人在破解你的共享密码。

批处理(Batch) 登录类型:4

通过计划任务功能，以普通用户账户登录时也能进行某些需要管理员权限才能进行的维护操作，比如定期整理磁盘、备份系统数据等。在“控制面板任务计划”中可以很容易地添加这些任务，同时在设置这些任务时还需要填写运行这些任务时所需要的账户和密码(见左下图)。在某项计划任务到达预定时间开始运行时，系统就会自动为该任务创建一次新的登录会话(使用预先设置的账户)，并产生一次登录事件。如果你使用管理员账户添加过计划任务，但是后来又修改过管理员账户的密码，该任务中的账户信息并不会同步更新，可能会出现登录失败事件，所以如果在事件查看中发现了类型4的登录失败事件，就应该检查一下计划任务中是否有账户不匹配的情况。

服务(Service) 登录类型:5

系统服务也有权限之分，所以每个不同的系统服务可能会在不同的账户下运行，在系统服务启动时系统就会产生一次系统服务登录的事件。

解锁(Unlock) 登录类型:7

当你需要暂时离开电脑又不想关机时，一般都会使用“Win+L”组合键来锁定电脑，回来之后再输入一次密码就能恢复操作了。这种恢复操作的解锁过程也会产生一次登录事件，同样地，如果在事件查看器中发现了大量的解锁失败事件，那就是有人趁你不在时想破解密码了。

新凭证(NewCredentials) 登录类型:9

Windows XP中为了减少在账户间频繁切换所花费的时间，提供了RUNAS功能，就是说能让一个普通用户在登录后以管理员账户的身份运行某个程序，这样可以减少使用高权限账户带来的风险。在使用RUNAS后，日志中就会记录下这个事件，一般这个事件的类型是2，但如果以/netonly参数运行RUNAS且需要连接到网络上的其他计算机时，就会记录为9。

远程交互(RemoteInteractive)登录类型:10

Windows XP自带的远程桌面功能非常方便，只需右击“我的电脑”，在“远程”中勾选一下“允许用户远程连接到此计算机”，别人不出门就能充当你的修理工了。Windows XP默认只允许同时有一个用户登录，比如你正在使用电脑，别人如果用远程桌面登录你的电脑，那你就会被强行注销，但是通过替换远程桌面相关的DLL文件就能实现多用户登录，也就是说你和入侵者可以同时用不同的账户登录你的电脑，所以如果你未曾用过远程桌面而出现了类型10的登录事件，你就应该好好检查一下是不是被人偷偷开了远程桌面服务了(行话叫“3389入侵”)。在Windows XP之前的版本会把这种类型的登录记录为2。