При Windows лог за сигурност често се намират различни стойности за типа вход. Има 2, 3, 5, 8 и т.н. Най-често срещаните типове са 2 (интерактивен) и 3 (уеб).
Възможните стойности на типа за вход са изброени подробно по-долу
Тип вход 2: Интерактивно влизане
Това трябва да е първият метод за вход, за който се сещате, така нареченият интерактивен логин се отнася до входа, направен от потребителя на конзолата на компютъра, тоест входът, направен на локалната клавиатура.
Тип вход 3: Мрежа
Когато достъпвате компютър от мрежа, Windows в повечето случаи се маркира като Тип 3, най-често при свързване към споделена папка или споделен принтер. В повечето случаи се записва и като този тип при влизане в IIS през Интернет, с изключение на основния метод за удостоверяване на IIS вход, който ще бъде записан като тип 8 и ще бъде описан по-долу.
Успешен уеб вход:
Потребителско име:
Домейни:
ID за вход: (0x2,0xFC38EC05)
Типове вход: 3
Процес на вход: NtLmSsp
Пакет за автентикация: NTLM
Име на работната станция: 098B11CAF05E4A0
Вход GUID:-
Потребителско име на обаждащия се: -
Повикване на квадрати: -
ID за вход на обаждащия се: -
Идентификатор на процеса на обаждащия се: -
Услуги за доставка: -
Адрес на изходната мрежа: 192.168.197.35
Изходен порт: 0
Име на процеса на обаждащия се: %16
Тип вход 4: Партида
Когато Windows изпълнява планирана задача, Планираната задачна услуга първо създава нова сесия за вход за задачата, така че тя да може да се изпълнява под потребителския акаунт, конфигуриран за тази задача. Когато този вход се появи, Windows го записва като тип 4 в лога. За други типове системи за работни задачи, в зависимост от дизайна си, може да генерира и тип 4 събитие за вход при започване на работата, тип 4 обикновено означава, че започва планирана задача, Въпреки това, това може да е и злонамерен потребител, който познае паролата на потребителя чрез планирана задача, което би довело до инцидент с провал на входа тип 4, но този неуспешен вход може да бъде причинен и от това, че паролата на планираната задача не е била синхронно променена, например паролата на потребителя е била смяна и е забравила да я промени в планираната задача.
Тип вход 5: Услуга
Подобно на планираните задачи, всяка услуга е конфигурирана да работи под конкретен потребителски акаунт; когато услуга стартира, Windows първо създава сесия за вход за този конкретен потребител, която ще бъде записана като тип 5, неуспешен тип 5 обикновено означава, че паролата на потребителя е променена и не е обновена тук. Разбира се, това може да бъде причинено и от предположение на парола на злонамерен потребител, но това е по-малко вероятно, Тъй като създаването на нова услуга или редактирането на съществуваща услуга изисква по подразбиране идентичността на администратора или serversoperators, злонамереният потребител на тази идентичност вече е достатъчно способен да извърши лошите си дела и няма нужда да се занимава с отгатването на паролата на услугата.
Успешно сте влезли в акаунта си.
Теми:
Security ID: SYSTEM
Име на акаунта: NAUTICAR-X200$
Домейн на акаунта: WORKGROUP
ID за вход: 0x3e7
Тип вход: 5
Нови входи:
Security ID: SYSTEM
Име на акаунта: SYSTEM
Домейн на акаунта: NT AUTHORITY
ID за вход: 0x3e7
Login GUID:{00000000-0000-0000-00000-000000000}
Информация за процеса:
ID на процеса: 0x254
Име на процеса: C:\Windows\System32\services.exe
Информация за мрежата:
Име на работната станция:
Адрес на изходната мрежа: -
Изходен порт: -
Подробна информация за удостоверяване:
Процес на вход: Advapi
Пакет за автентикация: Преговори
Услуги за доставка: -
Име на пакета (само NTLM): -
Дължина на ключа: 0
Това събитие се генерира на достъпния компютър след създаването на сесията за вход.
Полето Subject показва акаунта в местната система, който иска вход. Обикновено това е услуга (като сървърна услуга) или локален процес (като Winlogon.exe или Services.exe).
Тип вход 7: Отключване
Може да искате съответната работна станция автоматично да стартира скрийнсейвър, защитен с парола, когато потребителят напусне компютъра си, а когато потребителят се върне за отключване, Windows счита тази операция за Тип 7 вход, а неуспешен Тип 7 вход означава, че някой е въвел грешна парола или се опитва да отключи компютъра.
Тип вход 8: NetworkCleartext
Този логин показва, че това е тип 3 мрежов вход, но паролата за това влизане се предава през мрежата чрез открит текст, а услугата Windows Server не позволява открита автентикация да се свърже със споделена папка или принтер, доколкото знам, това е само при влизане от ASP скрипт с Advapi или при потребител, който влиза в IIS с основна автентикация. Всички Advapi ще бъдат посочени в колоната Процес на вход.
Успешен уеб вход:
Потребителско име: IUSR_HP-8DFC7CA1B32C
Домейн: HP-8DFC7CA1B32C
ID за вход: (0x0,0x89F503)
Тип на вход: 8
Процес на вход: Advapi
Пакет за автентикация: Преговори
Име на работната станция: HP-8DFC7CA1B32C
Вход GUID:-
Потребителско име на обаждащия се: NETWORK SERVICE
Призоваване на власт: NT AUTHORITY
ID за вход на обаждащия се: (0x0,0x3E4)
Идентификатор на процеса на обаждащия се: 3656
Услуги за доставка: -
Адрес на изходната мрежа: -
Изходен порт: -
Име на процеса на обаждащия се: %16
Тип вход 9: Нови идентификационни данни
Когато стартирате програма с параметъра /netonly, RUNAS я изпълнява като локален текущ влязъл потребител, но ако програмата трябва да се свърже с други компютри в мрежата, тя ще се свърже с потребителя, посочен в командата RUNAS, и Windows ще запише този вход като тип 9; ако командата RUNAS няма параметъра /netonly, програмата ще се стартира като посочения потребител, но типът на вход в лога е 2.
Тип вход 10: RemoteInteractive
Когато достъпвате компютър чрез Terminal Services, Remote Desktop или Remote Assistance, Windows ще го маркира като Тип 10, за да го отличи от истинския Console Login; имайте предвид, че този тип вход не е бил поддържан в версии преди XP, например Windows 2000 все още ще записва Terminal Services Login като Тип 2.
Тип вход 11: CachedInteractive
Windows поддържа функция, наречена кеширано влизане, която е особено полезна за мобилни потребители, например когато влизате като потребител на домейн извън вашата мрежа и не можете да влезете в домейн контролер, който по подразбиране кешира хешевете на идентификационните данни за последните 10 интерактивни домейн входа, а ако по-късно влезете като домейн потребител и няма наличен контролер на домейна, Windows ще използва тези хешове, за да потвърди вашата самоличност.
Горното описва типа вход в Windows, но Windows 2000 по подразбиране не записва логове за сигурност, първо трябва да активирате "Audit Login Events" под Груповата политика "Конфигурация на компютър/Windows настройки/Настройки на сигурността/Локални политики/Политики за одит", за да видите горната информация от лога. Надявам се, че тази подробна информация за записите ще помогне на всички по-добре да разберат ситуацията в системата и да поддържат стабилността на мрежата. |
Публикувано в 14.11.2018 г. 16:19:16 ч.
|
|
|
