談終端方式登錄的日志記錄
2024-09-10 14:18:49
供稿:網(wǎng)友
最近看到一篇文章《分析進入Win2000后留下的足跡》,這文章里的關(guān)于紀錄終端服務登錄服務器日志
紀錄的問題引發(fā)了幾個朋友的討論,究竟能不能紀錄日志?何種情況下才能紀錄日志?
順手做了以下測試
這里先交待一下:
我的服務器名:ABUSERVER
我自己客戶機名:ABUPC13
我自己客戶機的IP:192.168.0.13
我登錄所用的帳號:Administrator
本地安全策略里面開啟:審核登錄事件
測試一
用終端服務的方式登錄服務器,并正常注銷退出,查看安全審核的日志記錄如下:
登錄成功:
用戶名: Administrator
域: ABUSERVER
登錄 ID: (0x0,0x1D0B52)
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: ABUSERVER
用戶注銷:
用戶名: Administrator
域: ABUSERVER
登錄 ID: (0x0,0x1D0B52)
登錄類型: 2
很奇怪吧,因為并沒有看到有自己的IP或者機器名被記錄下來。而且在登錄時
紀錄的工作站名: ABUSERVER (這不是服務器的名字嘛)
測試二:
正常登錄上服務器以后,選擇斷開,臨時中斷當前會話,然后再次使用客戶端連接上服務器,在安全日志里
出現(xiàn)了以下記錄:
會話從 winstation 中斷連接:
用戶名: administrator
域: ABUSERVER
登錄 ID: (0x0,0x1D0B52)
會話名稱: Unknown
客戶端名: ABUPC13
客戶端地址: 192.168.0.13
會話被重新連接到 winstation:
用戶名: administrator
域: ABUSERVER
登錄 ID: (0x0,0x1BE7BA)
會話名稱: RDP-Tcp#7
客戶端名: ABUPC13
客戶端地址: 192.168.0.13
這次,自己客戶機名以及當時的IP都被記錄下來了。
測試三:
正常連接服務器,輸入錯誤的密碼,再輸入到第6次(缺省安全配置情況下)終端服務窗口關(guān)閉。
重新連接登錄后,檢查日志出現(xiàn)以下紀錄:
在系統(tǒng)日志里:
來自客戶端名 ABUPC13 的遠程會話超出了所允許的失敗登錄最大次數(shù)。強行終止了會話。
在安全日志里:
登錄失敗:
原因: 用戶名未知或密碼錯誤
用戶名: administrator
域: ABUSERVER
登錄類型: 2
登錄過程: User32
身份驗證程序包: Negotiate
工作站名: ABUSERVER
到這里,我們分析了各種不同環(huán)境下登錄終端服務器的日志紀錄效果。
這樣看來,是不是清楚了很多?呵呵
也許有朋友會奇怪為什么在第一個日志記錄中,工作站名也是服務器的名稱而不是我用來登錄的客戶機的名稱。
原因是因為在以終端方式登錄的時候,系統(tǒng)實際上是以虛擬桌面、本地登錄 的方式進行記錄,自然沒有對真正用戶的紀錄咯。
所以總結(jié)如下:
1、當一個用戶以終端方式登錄服務器的時候,如果正常退出,服務器上的日志中,將不會記錄你的IP,機器名。
2、當用戶以終端方式登錄后又發(fā)生了中斷,這時候系統(tǒng)才會紀錄客戶機的IP以及機器名。
3、當密碼輸入錯誤導致連接終止時,在系統(tǒng)日志里會留下客戶機的機器名信息。
呵呵,最后我在羅嗦一些關(guān)于被紀錄下來的IP地址。
系統(tǒng)在紀錄終端方式的客戶機IP地址的時候,如果你的客戶機處于一個局域網(wǎng)中,通過透明網(wǎng)關(guān)的方式訪問服務器,
在服務器上留下的IP也只是你內(nèi)網(wǎng)的IP地址,看來,單純依靠微軟的日志紀錄,還是難免會有疏漏的。
