Windows应急响应常识
Windows 应急响应
常见事件ID
- 1102 清理审计日志
- 4624 帐号登录成功
- 4625 帐号登录失败
- 4672 授予特殊权限
- 4720 建立用户
- 4726 删除用户
- 4728 将成员添加到启用安全的全局组中
- 4729 将成员从安全组移除
- 4732 将成员添加到启用安全的本地组中
- 4733 将成员从启用安全的本地组移除
- 4756 将成员添加到启用安全的通用组中
- 4757 将成员从启用安全的通用组中移除
- 4719 系统审计策略修改
常见登录类型
- 2 交互式登录(用户从控制台登录)
- 3 网络 (好比经过net use,访问共享网络、共享文件夹)
- 4 批处理 (计划任务)
- 5 服务启动 (服务启动时,win会先建立一个新的登录会话)
- 6 不支持
- 7 解锁 (锁屏解锁)
- 8 网络明文 (IIS服务器登录验证)
- 9 新凭证 (使用带
/netonly参数的runas命令容许程序时) - 10 远程交互 (终端服务、远程桌面、远程辅助)
- 11 缓存域证书登录
命令
netstat -ano | morehtml
tasklist | findstr "xxx"windows
systeminfo缓存
net user安全
net user admin服务器
Reference
相关文章
- 1. 应急响应
- 2. linux 应急响应
- 3. Hw-应急响应Windows系列
- 4. 应急响应通常流程
- 5. 什么是应急响应和应急响应体系
- 6. Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析
- 7. 应急响应概述
- 8. 安全应急与响应
- 9. 应急响应流程
- 10. 应急响应小总结
- 更多相关文章...
- • 如何伪造ARP响应? - TCP/IP教程
- • HTTP 响应头信息 - HTTP 教程
- • TiDB 在摩拜单车在线数据业务的应用和实践
- • 常用的分布式事务解决方案
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 应急响应
- 2. linux 应急响应
- 3. Hw-应急响应Windows系列
- 4. 应急响应通常流程
- 5. 什么是应急响应和应急响应体系
- 6. Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析
- 7. 应急响应概述
- 8. 安全应急与响应
- 9. 应急响应流程
- 10. 应急响应小总结