Når du logger Windows sikkerhedslog, finder du ofte forskellige værdier for login-typen. Der er 2, 3, 5, 8 osv. De mest almindelige typer er 2 (interaktiv) og 3 (web).
De mulige logintypeværdier er listet i detaljer nedenfor
Login-type 2: Interaktiv login
Dette bør være den første loginmetode, du tænker på; den såkaldte interaktive login refererer til den login, brugeren foretager på computerens konsol, altså login foretaget på det lokale tastatur.
Login-type 3: Netværk
Når du tilgår en computer fra et netværk, er Windows i de fleste tilfælde markeret som Type 3, oftest når man opretter forbindelse til en delt mappe eller en delt printer. I de fleste tilfælde registreres den også som denne type, når man logger ind på IIS via internettet, undtagen den grundlæggende autentificeringsmetode IIS-login, som vil blive registreret som type 8, der vil blive beskrevet nedenfor.
Succesfuld weblogin:
Brugernavn:
Domæner:
Login-ID: (0x2,0xFC38EC05)
Login-typer: 3
Loginproces: NtLmSsp
Autentificeringspakke: NTLM
Arbejdsstationens navn: 098B11CAF05E4A0
Log ind GUID:-
Opkalderbrugernavn: -
Kalde firkanter: -
Opkalderens login-ID: -
Opkaldsproces-ID: -
Leveringstjenester: -
Kildenetværksadresse: 192.168.197.35
Kildeport: 0
Opkaldsprocesnavn: %16
Login-type 4: Batch
Når Windows kører en planlagt opgave, vil Scheduled Task Service først oprette en ny login-session for opgaven, så den kan køre under den brugerkonto, der er konfigureret til denne planlagte opgave. Når denne login vises, registrerer Windows den som type 4 i loggen, for andre typer arbejdsopgavesystemer, afhængigt af designet, kan den også generere en type 4 login-hændelse, når arbejdet startes, type 4 login indikerer normalt, at en planlagt opgave starter, Det kan dog også være en ondsindet bruger, der gætter brugeradgangskoden via en planlagt opgave, hvilket ville resultere i en type 4 loginfejl, men denne mislykkede login kan også skyldes, at brugeradgangskoden til den planlagte opgave ikke ændres synkront, såsom at brugeradgangskoden ændres og glemmer at ændre den i den planlagte opgave.
Login-type 5: Service
Ligesom planlagte opgaver er hver tjeneste konfigureret til at køre under en specifik brugerkonto; når en tjeneste starter, opretter Windows først en loginsession for denne specifikke bruger, som vil blive registreret som type 5, fejlet type 5 indikerer normalt, at brugerens adgangskode er ændret og ikke er blevet opdateret her, selvfølgelig kan dette også skyldes en ondsindet brugers adgangskode-gæt, men dette er mindre sandsynligt, Fordi oprettelse af en ny tjeneste eller redigering af en eksisterende tjeneste som standard kræver administrator- eller serveroperatøridentitet, er den ondsindede bruger af denne identitet allerede kompetent nok til at udføre sine dårlige gerninger, og der er ikke behov for at gætte tjenesteadgangskoden.
Du har logget ind på din konto med succes.
Emner:
Sikkerheds-ID: SYSTEM
Kontonavn: NAUTICAR-X200$
Kontodomæne: WORKGROUP
Login-ID: 0x3e7
Logintype: 5
Nye logins:
Sikkerheds-ID: SYSTEM
Kontonavn: SYSTEM
Kontodomæne: NT AUTHORITY
Login-ID: 0x3e7
Log ind GUID:{00000000-0000-0000-0000-0000000000}
Procesinformation:
Proces-ID: 0x254
Procesnavn: C:\Windows\System32\services.exe
Netværksinformation:
Arbejdsstationens navn:
Kildenetværksadresse: -
Kildeport: -
Detaljerede autentificeringsoplysninger:
Loginproces: Advapi
Autentificeringspakke: Forhandle
Leveringstjenester: -
Pakkenavn (kun NTLM): -
Nøglelængde: 0
Denne begivenhed genereres på den tilgåede computer efter, at login-sessionen er oprettet.
Emnefeltet angiver kontoen på det lokale system, der anmoder om at logge ind. Dette er normalt en tjeneste (såsom en serverservice) eller en lokal proces (såsom Winlogon.exe eller Services.exe).
Login-type 7: Lås op
Du vil måske have, at den tilsvarende arbejdsstation automatisk starter en adgangskodebeskyttet skærmskåner, når en bruger forlader sin computer, og når en bruger kommer tilbage for at låse op, betragter Windows denne oplåsningsoperation som en Type 7-login, og et mislykket Type 7-login indikerer, at nogen har indtastet den forkerte adgangskode, eller at nogen prøver at låse computeren op.
Login-type 8: NetworkCleartext
Dette login indikerer, at det er et type 3 netværkslogin, men adgangskoden til dette login sendes over netværket via klartekst, og Windows Server-tjenesten tillader ikke klartekst-autentificering for at forbinde til en delt mappe eller printer; så vidt jeg ved, er det kun ved at logge ind fra et ASP-script med Advapi eller en bruger, der logger ind på IIS med grundlæggende autentificering. Advapi vil alle blive opført i kolonnen Loginproces.
Succesfuld weblogin:
Brugernavn: IUSR_HP-8DFC7CA1B32C
Domæne: HP-8DFC7CA1B32C
Login-ID: (0x0,0x89F503)
Logintype: 8
Loginproces: Advapi
Autentificeringspakke: Forhandle
Arbejdsstationsnavn: HP-8DFC7CA1B32C
Log ind GUID:-
Opkalderbrugernavn: NETVÆRKSTJENESTE
Kaldeautoritet: NT AUTHORITY
Opkaldslogin-ID: (0x0,0x3E4)
Opkaldsproces-ID: 3656
Leveringstjenester: -
Kildenetværksadresse: -
Kildeport: -
Opkaldsprocesnavn: %16
Login-type 9: Nye legitimationsoplysninger
Når du kører et program med /netonly-parameteren, kører RUNAS det som den lokale aktuelle loggede bruger, men hvis programmet skal forbinde til andre computere på netværket, vil det forbinde med brugeren, der er angivet i RUNAS-kommandoen, og Windows vil registrere denne login som type 9; hvis RUNAS-kommandoen ikke har /netonly-parameteren, vil programmet køre som den angivne bruger, men login-typen i logbogen er 2.
Login-type 10: RemoteInteractive
Når du tilgår en computer via Terminal Services, Remote Desktop eller Remote Assistance, vil Windows markere den som Type 10 for at skelne den fra den ægte Console Login; bemærk at denne logintype ikke blev understøttet i versioner før XP, for eksempel vil Windows 2000 stadig skrive Terminal Services Login som Type 2.
Login-type 11: CachedInteractive
Windows understøtter en funktion kaldet cachet login, som er særligt fordelagtig for mobilbrugere, for eksempel når du logger ind som domænebruger uden for dit netværk og ikke kan logge ind på en domænecontroller, som som standard cacher legitimationshashes for de sidste 10 interaktive domænelogins, og hvis du senere logger ind som domænebruger uden domænecontroller, vil Windows bruge disse hashes til at verificere din identitet.
Ovenstående beskriver logintypen for Windows, men Windows 2000 registrerer ikke sikkerhedslogfiler som standard; du skal først aktivere "Audit Login Events" under gruppepolitikken "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" for at se ovenstående logoplysninger. Jeg håber, at denne detaljerede journalinformation vil hjælpe alle med bedre at forstå systemsituationen og opretholde netværksstabilitet. |
Opslået på 14/11/2018 16.19.16
|
|
|
