这个问题没有考虑Windows Server 2003及更早的操作系统。
我知道对于本地登录(事件 ID 4624),登录类型也会被记录(交互式、远程等)。有没有办法通过只收集域控制器日志来识别域身份验证的登录类型?也就是说,事件 ID(例如 4771 和 4768)是否可以由用户在其工作站(通过键盘)进行的身份验证和用户或服务通过网络进行的身份验证生成?如果可以,有没有办法从日志(4771 或 4768)中知道这一点?或者,网络身份验证是否始终包含在事件 ID 4769 中,因此事件 ID 4771 和 4768 仅用于本地身份验证?
答案1
不,4624 不仅仅适用于本地工作站登录。它们也出现在域控制器上。相同的规则适用于本地登录和域登录。
诀窍是查看Logon Type事件 4624 中列出的内容。如果事件说
Logon Type: 3
那么你就知道这是一次网络登录。当用户(或计算机)登录到 AD 域时,这些事件就会在域控制器上发生,所以是的,收集域控制器就是你想要做的。
•2:交互式登录 — 用于在计算机控制台登录。当您尝试在 Windows 计算机的本地键盘和屏幕上登录时,将记录类型 2 登录。
•3:网络登录 — 当您访问远程文件共享或打印机时,会发生此登录。此外,大多数 Internet 信息服务 (IIS) 登录都归类为网络登录,但使用基本身份验证协议的 IIS 登录除外(这些登录记录为登录类型 8)。
•4:批量登录 — 用于计划任务。当 Windows Scheduler 服务启动计划任务时,它首先为该任务创建一个新的登录会话,以便它可以在创建任务时指定的帐户的安全上下文中运行。
•5:服务登录 — 用于登录以启动服务的服务和服务帐户。服务启动时,Windows 首先为服务配置中指定的用户帐户创建登录会话。
•7:解锁——每当您解锁 Windows 机器时都会使用此项。
•8:网络明文登录——当您通过网络登录并以明文形式发送密码时使用。例如,当您使用基本身份验证向 IIS 服务器进行身份验证时,就会发生这种情况。
•9:新的基于凭据的登录——当您使用 RunAs 命令运行应用程序并指定 /netonly 开关时,将使用此登录。当您使用 /netonly 通过 RunAs 启动程序时,程序将在具有相同本地身份(这是您当前登录的用户身份)的新登录会话中启动,但对其他网络连接使用不同的凭据(runas 命令中指定的凭据)。如果没有 /netonly,Windows 将在本地计算机和网络上以 runas 命令中指定的用户身份运行程序,并使用类型 2 记录登录事件。
•10:远程交互式登录——用于基于 RDP 的应用程序,如终端服务、远程桌面或远程协助。
•11:缓存交互式登录——当用户使用缓存凭据登录时,将记录此信息,这基本上意味着在没有域控制器的情况下,您仍然可以使用域凭据登录到本地计算机。Windows 支持使用缓存凭据登录,以简化移动用户和经常断开连接的用户的生活。