Windows系统里的常见登录类型

常见登录类型

LogonType 分布
Windows安全日志的登录/注销类别使您能够监视访问本地计算机的所有尝试。在本文中，详细地说明每种登录类型，并展示登录/注销事件中的其他字段如何有助于理解给定登录尝试的性质。

事件ID:

事件ID 528和540表示登录成功，事件ID 538表示注销，此类别中的所有其他事件确定登录失败的不同原因。然而，仅仅知道一次成功或失败的登录尝试并不能说明一切。由于Windows提供的所有服务，您可以通过许多不同的方式登录到计算机，例如在计算机的本地键盘和屏幕上交互登录，通过驱动器映射通过网络登录，或通过终端服务（又称远程桌面）登录，或通过IIS登录。幸运的是，登录/注销事件指定了“登录类型”代码，该代码显示了提示事件的登录类型。

登录类型2–交互式

当你想到登录，也就是在计算机控制台上登录时，首先会发生这种情况。当用户尝试 使用本地键盘和屏幕登录 时，无论是使用域帐户还是计算机本地SAM的本地帐户，您都会看到类型2登录。要区分尝试使用本地帐户还是域帐户登录，请在事件描述中查找用户名之前的域或计算机名。不要忘记，从Windows的角度来看，通过KVM over IP组件或服务器专有的“lights out”远程KVM功能进行登录仍然是交互式登录，并将以这种方式进行记录。

登录类型3–网络

在大多数情况下，当您从网络上的其他位置访问计算机时，Windows会记录登录类型3。登录类型为3的登录事件的最常见来源之一是与共享文件夹或打印机 的连接。但其他通过网络登录的登录被归类为登录类型3，以及大多数登录到IIS的登录。（以下登录类型8中解释了基本身份验证的例外情况。）

登录类型4–批处理

当Windows执行计划任务时，计划任务服务首先为任务创建一个新的登录会话，以便它可以在创建任务时指定的用户帐户的权限下运行。当尝试登录时，Windows将其作为登录类型4进行记录。其他作业计划系统根据其设计，在启动作业时也可能生成登录类型为4的登录事件。登录类型4事件通常只是无辜的计划任务启动，但恶意用户可能试图通过计划任务猜测帐户密码，从而破坏安全。这样的尝试将生成登录类型为4的登录失败事件。但是，与计划任务关联的登录失败也可能是由于管理员在创建任务时输入了错误的帐户密码，或者在未修改计划任务以使用新密码的情况下更改了帐户密码。

登录类型5–服务

与计划任务类似，每个服务都配置为作为指定的用户帐户运行。当服务启动时，Windows首先为指定的用户帐户创建登录会话，这将导致登录类型为5的登录/注销事件。登录类型为五的失败登录事件通常表示帐户密码已更改，但未更新服务，但也始终有可能是恶意用户在工作。然而，这不太可能，因为创建新服务或编辑现有服务默认情况下需要Administrators或Server Operators的成员资格，而这样的用户如果是恶意的，可能已经有足够的权限来实现其期望的目标。

登录类型7–解锁

希望当用户离开计算机时，网络上的工作站会自动启动受密码保护的屏幕保护程序，从而保护无人值守的工作站免受恶意使用。当用户返回其工作站并解锁控制台时，Windows会将其视为登录并记录相应的登录/注销事件，但在这种情况下，登录类型将为7–将该事件标识为工作站解锁尝试。登录类型为7的登录失败表明用户输入了错误的密码，或者恶意用户试图通过猜测密码来解锁计算机。

登录类型8–网络文本登录（未加密）

此登录类型指示类似于登录类型3的网络登录，但其中密码以明文形式通过网络发送。Windows服务器不允许使用明文身份验证连接到共享文件或打印机。我所知道的唯一情况是使用ADVAPI从ASP脚本中登录，或者当用户使用IIS的基本身份验证模式登录到IIS时。在这两种情况下，事件描述中的登录过程都会列出advapi。基本身份验证只有在未包装在SSL会话（即https）中时才是危险的。至于ASP生成的登录，脚本要记住，出于维护目的，在源代码中嵌入密码是一种不好的做法，也存在恶意用户查看源代码从而获取密码的风险。

登录类型9–新凭据

如果您使用RunAs命令在其他用户帐户下启动程序并指定/netonly开关，Windows将记录登录类型为9的登录/注销事件。当您使用/netonly/运行方式启动程序时，该程序将作为当前登录的用户在本地计算机上执行，但不会连接到网络上的其他计算机，Windows使用运行方式命令中指定的帐户将您连接到这些计算机。如果没有/netonly，Windows将以指定用户身份在本地计算机和网络上运行程序，并使用登录类型2记录登录事件。

登录类型10–远程交互

当您 通过终端服务访问计算机 时，远程桌面或远程协助窗口 使用登录类型10记录登录尝试，这样可以轻松区分真正的控制台登录和远程桌面会话。但是请注意，在XP之前，Windows 2000不使用登录类型10，终端服务登录报告为登录类型2。

登录类型11–缓存交互式登录 CachedInteractive

Windows支持名为缓存登录的功能，方便移动用户使用。当您未连接到组织的网络并尝试使用域帐户登录到笔记本电脑时，笔记本电脑没有可用的域控制器来验证您的身份。为了解决这个问题，Windows缓存了最近10次交互式域登录的凭据哈希。稍后当没有可用的域控制器时，当您尝试使用域帐户登录时，Windows会使用这些哈希来验证您的身份。

查看登录类型

在 Windows事件查看器 中，登录事件通常记录在 安全日志（Event ID 4624 或 4625），其中 Logon Type 字段标识具体类型：

路径：事件查看器 → Windows 日志 → 安全
筛选事件ID：4624（成功登录）或 4625（失败登录）。

安全意义

异常登录类型：例如非预期的网络登录（类型3）可能表示潜在攻击。
远程桌面登录（类型10）需监控来源IP是否合法。
服务登录（类型5）需确保服务账户权限最小化。
理解登录类型有助于分析安全事件和排查问题。