談終端方式登錄的日志記錄
2024-09-10 14:18:49
供稿:網(wǎng)友
最近看到一篇文章《分析進(jìn)入Win2000后留下的足跡》����,這文章里的關(guān)于紀(jì)錄終端服務(wù)登錄服務(wù)器日志
紀(jì)錄的問題引發(fā)了幾個朋友的討論�,究竟能不能紀(jì)錄日志�?何種情況下才能紀(jì)錄日志?
順手做了以下測試
這里先交待一下:
我的服務(wù)器名:ABUSERVER
我自己客戶機(jī)名:ABUPC13
我自己客戶機(jī)的IP:192.168.0.13
我登錄所用的帳號:Administrator
本地安全策略里面開啟:審核登錄事件
測試一
用終端服務(wù)的方式登錄服務(wù)器,并正常注銷退出����,查看安全審核的日志記錄如下:
登錄成功:
用戶名: Administrator
域: ABUSERVER
登錄 ID: (0x0,0x1D0B52)
登錄類型: 2
登錄過程: User32
身份驗(yàn)證程序包: Negotiate
工作站名: ABUSERVER
用戶注銷:
用戶名: Administrator
域: ABUSERVER
登錄 ID: (0x0,0x1D0B52)
登錄類型: 2
很奇怪吧,因?yàn)椴]有看到有自己的IP或者機(jī)器名被記錄下來。而且在登錄時
紀(jì)錄的工作站名: ABUSERVER (這不是服務(wù)器的名字嘛)
測試二:
正常登錄上服務(wù)器以后����,選擇斷開�����,臨時中斷當(dāng)前會話�����,然后再次使用客戶端連接上服務(wù)器,在安全日志里
出現(xiàn)了以下記錄:
會話從 winstation 中斷連接:
用戶名: administrator
域: ABUSERVER
登錄 ID: (0x0,0x1D0B52)
會話名稱: Unknown
客戶端名: ABUPC13
客戶端地址: 192.168.0.13
會話被重新連接到 winstation:
用戶名: administrator
域: ABUSERVER
登錄 ID: (0x0,0x1BE7BA)
會話名稱: RDP-Tcp#7
客戶端名: ABUPC13
客戶端地址: 192.168.0.13
這次,自己客戶機(jī)名以及當(dāng)時的IP都被記錄下來了。
測試三:
正常連接服務(wù)器��,輸入錯誤的密碼����,再輸入到第6次(缺省安全配置情況下)終端服務(wù)窗口關(guān)閉����。
重新連接登錄后���,檢查日志出現(xiàn)以下紀(jì)錄:
在系統(tǒng)日志里:
來自客戶端名 ABUPC13 的遠(yuǎn)程會話超出了所允許的失敗登錄最大次數(shù)����。強(qiáng)行終止了會話。
在安全日志里:
登錄失敗:
原因: 用戶名未知或密碼錯誤
用戶名: administrator
域: ABUSERVER
登錄類型: 2
登錄過程: User32
身份驗(yàn)證程序包: Negotiate
工作站名: ABUSERVER
到這里�����,我們分析了各種不同環(huán)境下登錄終端服務(wù)器的日志紀(jì)錄效果����。
這樣看來,是不是清楚了很多�����?呵呵
也許有朋友會奇怪為什么在第一個日志記錄中,工作站名也是服務(wù)器的名稱而不是我用來登錄的客戶機(jī)的名稱。
原因是因?yàn)樵谝越K端方式登錄的時候����,系統(tǒng)實(shí)際上是以虛擬桌面、本地登錄 的方式進(jìn)行記錄���,自然沒有對真正用戶的紀(jì)錄咯。
所以總結(jié)如下:
1�、當(dāng)一個用戶以終端方式登錄服務(wù)器的時候��,如果正常退出,服務(wù)器上的日志中�����,將不會記錄你的IP���,機(jī)器名��。
2��、當(dāng)用戶以終端方式登錄后又發(fā)生了中斷,這時候系統(tǒng)才會紀(jì)錄客戶機(jī)的IP以及機(jī)器名����。
3�、當(dāng)密碼輸入錯誤導(dǎo)致連接終止時��,在系統(tǒng)日志里會留下客戶機(jī)的機(jī)器名信息�����。
呵呵,最后我在羅嗦一些關(guān)于被紀(jì)錄下來的IP地址����。
系統(tǒng)在紀(jì)錄終端方式的客戶機(jī)IP地址的時候�����,如果你的客戶機(jī)處于一個局域網(wǎng)中���,通過透明網(wǎng)關(guān)的方式訪問服務(wù)器�,
在服務(wù)器上留下的IP也只是你內(nèi)網(wǎng)的IP地址,看來�����,單純依靠微軟的日志紀(jì)錄��,還是難免會有疏漏的�。
