电脑技术学习

终端方式登录的日志记录分析

dn001

近看到一篇文章《分析进入Win2000后留下的足迹》,这文章里的关于纪录终端服务登录服务器日志记录的问题引发了几个朋友的讨论,究竟能不能记录日志?何种情况下才能记录日志?

顺手做了以下测试

这里先交待一下:

我的服务器名:ABUSERVER

我自己客户机名:ABUPC13

我自己客户机的IP:192.168.0.13

我登录所用的帐号:Administrator

本地安全策略里面开启:审核登录事件

测试一:

用终端服务的方式登录服务器,并正常注销退出,查看安全审核的日志记录如下:

 

登录成功:
用户名: ;Administrator
域:;;;ABUSERVER

登录 ID: ;;(0x0,0x1D0B52)
登录类型: ;2
登录过程: ;User32;
身份验证程序包: ;Negotiate
工作站名:;;ABUSERVER;

 

用户注销:
用户名:;Administrator
域:;;;ABUSERVER

登录 ID:;;(0x0,0x1D0B52)
登录类型:;2

很奇怪吧,因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时

纪录的工作站名:;;ABUSERVER;(这不是服务器的名字嘛)

测试二:

正常登录上服务器以后,选择断开,临时中断当前会话,然后再次使用客户端连接上服务器,在安全日志里

出现了以下记录:

 

会话从 winstation 中断连接:
用户名:;administrator
域:;;ABUSERVER
登录 ID:;;(0x0,0x1D0B52)
会话名称:;Unknown
客户端名:;ABUPC13
客户端地址:;192.168.0.13

 

会话被重新连接到 winstation:
用户名:;administrator
域:;;ABUSERVER
登录 ID:;;(0x0,0x1BE7BA)
会话名称:;RDP-Tcp#7
客户端名:;ABUPC13
客户端地址:;192.168.0.13

这次,自己客户机名以及当时的IP都被记录下来了。

测试三:

正常连接服务器,输入错误的密码,再输入到第6次(缺省安全配置情况下)终端服务窗口关闭。

重新连接登录后,检查日志出现以下纪录:

在系统日志里:

来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。

在安全日志里:

 

登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: ABUSERVER
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER;

到这里,我们分析了各种不同环境下登录终端服务器的日志纪录效果。

这样看来,是不是清楚了很多?呵呵

也许有朋友会奇怪为什么在第一个日志记录中,工作站名也是服务器的名称而不是我用来登录的客户机的名称。

原因是因为在以终端方式登录的时候,系统实际上是以虚拟桌面、本地登录 的方式进行记录,自然没有对真正

用户的纪录咯。

所以总结如下:

1、当一个用户以终端方式登录服务器的时候,如果正常退出,服务器上的日志中,将不会记录你的IP,机器名。

2、当用户以终端方式登录后又发生了中断,这时候系统才会纪录客户机的IP以及机器名。

3、当密码输入错误导致连接终止时,在系统日志里会留下客户机的机器名信息。

呵呵,最后我在罗嗦一些关于被纪录下来的IP地址。

系统在纪录终端方式的客户机IP地址的时候,如果你的客户机处于一个局域网中,通过透明网关的方式访问服务器,

在服务器上留下的IP也只是你内网的IP地址,看来,单纯依靠微软的日志纪录,还是难免会有疏漏的。