Při bezpečnostním protokolu Windows často najdete různé hodnoty typu přihlášení. Jsou 2, 3, 5, 8 atd. Nejčastější typy jsou 2 (interaktivní) a 3 (webové).
Možné hodnoty typu přihlášení jsou podrobně uvedeny níže
Typ přihlášení 2: Interaktivní přihlášení
Toto by měla být první metoda přihlášení, na kterou si vzpomenete, takzvané interaktivní přihlášení označuje přihlášení uživatele na konzoli počítače, tedy přihlášení provedené na lokální klávesnici.
Typ přihlášení 3: Síť
Když přistupujete k počítači ze sítě, Windows je ve většině případů označen jako typ 3, nejčastěji při připojení ke sdílené složce nebo sdílené tiskárně. Ve většině případů je také zaznamenán jako tento typ při přihlášení do IIS přes internet, s výjimkou základní autentizační metody přihlášení do IIS, která bude zaznamenána jako typ 8, což bude popsáno níže.
Úspěšné přihlášení na web:
Uživatelské jméno:
Domény:
Přihlašovací ID: (0x2,0xFC38EC05)
Typy přihlašování: 3
Proces přihlašování: NtLmSsp
Autentizační paket: NTLM
Název pracovní stanice: 098B11CAF05E4A0
Login GUID:-
Uživatelské jméno volajícího: -
Volání čtverců: -
Přihlašovací ID volajícího: -
Identifikace volajícího k procesu: -
Doručovací služby: -
Adresa zdrojové sítě: 192.168.197.35
Zdrojový port: 0
Název procesu volajícího: %16
Typ přihlášení 4: Batch
Když Windows spustí plánovanou úlohu, služba plánovaných úloh nejprve vytvoří novou přihlašovací relaci pro danou úlohu, aby mohla běžet pod uživatelským účtem nakonfigurovaným pro tuto plánovanou úlohu, když se toto přihlášení objeví, Windows jej zaznamená jako typ 4 v logu, u jiných typů systémů pracovních úloh, v závislosti na jeho designu, může také vygenerovat přihlašovací událost typu 4 při zahájení práce, typ 4 obvykle označuje spuštění plánované úlohy, Může se však jednat také o škodlivého uživatele, který uhodne uživatelské heslo prostřednictvím plánované úlohy, což by vedlo k neúspěchu přihlášení typu 4, ale toto neúspěšné přihlášení může být také způsobeno tím, že uživatelské heslo plánované úlohy nebylo synchronně změněno, například když bylo uživatelské heslo změněno a zapomenut ho změnit v plánované úlohě.
Přihlašovací typ 5: Služba
Podobně jako u plánovaných úloh je každá služba nakonfigurována tak, aby běžela pod konkrétním uživatelským účtem, při spuštění služby Windows nejprve vytvoří přihlašovací relaci pro tohoto konkrétního uživatele, která bude zaznamenána jako typ 5, neúspěšný typ 5 obvykle znamená, že se uživatelské heslo změnilo a nebylo zde aktualizováno, samozřejmě to může být způsobeno i uhodněním hesla škodlivého uživatele, ale to je méně pravděpodobné. Protože vytvoření nové služby nebo úprava stávající služby vyžaduje ve výchozím nastavení identitu správce nebo serversoperators, škodlivý uživatel této identity je již dostatečně schopný na to, aby páchal své špatné skutky, a není třeba hádat heslo služby.
Úspěšně jste se přihlásili do svého účtu.
Témata:
Bezpečnostní ID: SYSTÉM
Název účtu: NAUTICAR-X200$
Doména účtu: PRACOVNÍ SKUPINA
Přihlašovací ID: 0x3e7
Typ přihlašování: 5
Nové přihlašovací údaje:
Bezpečnostní ID: SYSTÉM
Název účtu: SYSTEM
Doména účtu: NT AUTHORITY
Přihlašovací ID: 0x3e7
Login GUID:{0000000-0000-0000-0000-000000000000}
Informace o procesu:
ID procesu: 0x254
Název procesu: C:\Windows\System32\services.exe
Informace o síti:
Název pracovní stanice:
Adresa zdrojové sítě: -
Zdrojový port: -
Podrobné informace o autentizaci:
Proces přihlašování: Advapi
Autentizační paket: Vyjednávat
Doručovací služby: -
Název paketu (pouze NTLM): -
Délka klíče: 0
Tato událost je generována na přístupném počítači po vytvoření přihlašovací relace.
Pole Předmět označuje účet v lokálním systému, který žádá o přihlášení. Obvykle jde o službu (například serverovou službu) nebo lokální proces (například Winlogon.exe nebo Services.exe).
Typ přihlášení 7: Odemknout
Možná budete chtít, aby odpovídající pracovní stanice automaticky spustila spořič obrazovky chráněný heslem, když uživatel opustí počítač, a když se uživatel vrátí odemknout, Windows považuje tuto operaci za přihlášení typu 7, a neúspěšné přihlášení typu 7 znamená, že někdo zadal špatné heslo nebo se někdo snaží odemknout počítač.
Přihlašovací typ 8: NetworkCleartext
Toto přihlášení znamená, že se jedná o síťové přihlášení typu 3, ale heslo k tomuto přihlášení je přenášeno přes síť v čistém textu a služba Windows Server neumožňuje autentizaci v otevřeném textu pro připojení ke sdílené složce nebo tiskárně, pokud vím, je to pouze při přihlášení přes ASP skript pomocí Advapi nebo uživatel přihlašující se do IIS pomocí základní autentizace. Advapi bude vše uvedeno ve sloupci Login Process.
Úspěšné přihlášení na web:
Uživatelské jméno: IUSR_HP-8DFC7CA1B32C
Doména: HP-8DFC7CA1B32C
Přihlašovací ID: (0x0,0x89F503)
Typ přihlašování: 8
Proces přihlašování: Advapi
Autentizační paket: Vyjednávat
Název pracovní stanice: HP-8DFC7CA1B32C
Login GUID:-
Uživatelské jméno volajícího: NETWORK SERVICE
Autorita volání: AUTORITA NT
Přihlašovací ID volajícího: (0x0,0x3E4)
Identifikace volajícího: 3656
Doručovací služby: -
Adresa zdrojové sítě: -
Zdrojový port: -
Název procesu volajícího: %16
Přihlašovací typ 9: Nové přihlašovací údaje
Když spustíte program s parametrem /netonly, RUNAS ho spustí jako lokální aktuálně přihlášený uživatel, ale pokud program potřebuje připojení k dalším počítačům v síti, připojí se k uživateli uvedenému v příkazu RUNAS a Windows zaznamená toto přihlášení jako typ 9, pokud příkaz RUNAS nemá parametr /netonly, program běží jako určený uživatel, ale přihlašovací typ v logu je 2.
Přihlašovací typ 10: RemoteInteractive
Když přistupujete k počítači přes Terminal Services, Remote Desktop nebo Remote Assistance, Windows jej označí jako Type 10, aby se odlišil od skutečného konzolového přihlášení, přičemž tento typ přihlášení nebyl podporován ve verzích před XP, například Windows 2000 stále zapisuje přihlášení Terminal Services jako typ 2.
Přihlašovací typ 11: CachedInteractive
Windows podporuje funkci zvanou cached login, která je zvláště přínosná pro mobilní uživatele, například když se přihlásíte jako doménový uživatel mimo svou síť a nemůžete se přihlásit do doménového řadiče, který ve výchozím nastavení ukládá do cache přihlašovacích údajů pro posledních 10 interaktivních přihlášení domény, a pokud se později přihlásíte jako doménový uživatel a není k dispozici žádný doménový řadič, Windows použije tyto hashe k ověření vaší identity.
Výše uvedené popisuje typ přihlášení ve Windows, ale Windows 2000 ve výchozím nastavení nezaznamenává bezpečnostní logy, nejprve musíte povolit "Audit Login Events" v rámci skupinové politiky "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies", abyste viděli výše uvedené informace v logu. Doufám, že tyto podrobné záznamové informace pomohou všem lépe pochopit situaci v systému a udržet stabilitu sítě. |
Zveřejněno 14.11.2018 16:19:16
|
|
|
