零、約定
為方便后文敘述,不妨假設:軟件學院服務器的本地管理員賬戶是:administrator。
一、緣起
昨日軟件學院網站無法訪問,后來發現是權限問題,配置后恢復正常。然解決途中,偶爾看到事件查看器中,有本地管理員administrator登陸系統的記錄;但是經過詢問,發現知道管理員密碼的維護人員都沒有在該時間登陸服務器。故因而生疑。
二、情況描述
1)事件查看器中記錄:
來源:Security ;時間:3:00:00 ;類別:登錄/注銷 ;類型:審核成功 ;事件ID:528 ;用戶:administrator
描述:
登錄類型: 4 ;登錄進程: Advapi ;身份驗證數據包: Negotiate ;源網絡地址: - ;源端口:- 。
2)發現:每天3:00,都有此登錄消息記錄。
3)從微軟官方技術幫助文章得證,事件ID528是登錄Windows桌面的ID記錄。(詳見/hope/Education/ShowArticle.asp?ArticleID=4142)
4)無法跟蹤到源網絡地址(IP)。
5)服務器上每天3:00會進行ntbackup計划任務,登錄事件有可能與之相關。
三、查看過程
1)對比遠程登錄信息(測試地方:工作站),發現其他信息都一致,不同的在於:
遠程登錄信息為:登錄類型:10 ;登錄進程: User32 ;源網絡地址: 202.116.83.214 ;源端口:4351 。
2)於是百度“登錄進程: Advapi”,未果;后來在微軟官網上看到關於“登錄進程: Advapi”的解釋——API call to LogonUser。
(詳見/hope/Education/ShowArticle.asp?ArticleID=4142)。
3)無獨有偶,后來無意間在50上看到了相同的的登錄事件,而且記錄是每三個小時一次,這個與50上面的桌面信息更新的任務計划時間剛好吻合;而在ss上,每天3:00則剛好是Ntbackup的任務計划的時間。
4)因此,加上微軟的官方解釋,推斷軟件學院服務器上和50上的登錄(EventID為528,登錄用戶為管理員,登錄進程為advapi)皆為由於任務計划調用了API,而“API則調用了LogonUser(管理員)(API call to LogonUser)”,從而產生了登錄事件。
5)后來百度“登錄類型”,得到了進一步驗證:(/hope/Education/ShowArticle.asp?ArticleID=4140)
a、此次登錄信息為:登錄類型4:對應於批處理(Batch),即“計划任務服務”
b、遠程測試登錄信息為:登錄類型10:遠程交互(RemoteInteractive)。
四、結論
軟件學院上每天三點的本地管理員administrator登陸系統的記錄,乃每天三點的NtBackup的計划任務服務執行從而調用登錄的緣故。
相關文章:
Windows登錄類型
/hope/Education/ShowArticle.asp?ArticleID=4140
審核用戶身份驗證
/hope/Education/ShowArticle.asp?ArticleID=4142