Im Windows-Sicherheitsprotokoll findet man oft unterschiedliche Werte für den Login-Typ. Es gibt 2, 3, 5, 8 usw. Die gebräuchlichsten Typen sind 2 (interaktiv) und 3 (Web).
Die möglichen Login-Typenwerte sind unten im Detail aufgeführt
Login-Typ 2: Interaktiver Login
Dies sollte die erste Login-Methode sein, an die du denkst; der sogenannte interaktive Login bezieht sich auf die Anmeldung, die der Benutzer auf der Konsole des Computers vornimmt, also die Anmeldung auf der lokalen Tastatur.
Login-Typ 3: Netzwerk
Wenn Sie über ein Netzwerk auf einen Computer zugreifen, wird Windows in den meisten Fällen als Typ 3 markiert, meist wenn Sie sich mit einem gemeinsamen Ordner oder einem gemeinsamen Drucker verbinden. In den meisten Fällen wird sie auch als dieser Typ erfasst, wenn man sich über das Internet bei IIS anmeldet, mit Ausnahme der grundlegenden Authentifizierungsmethode IIS, die als Typ 8 vermerkt wird, welche unten beschrieben wird.
Erfolgreicher Web-Login:
Nutzername:
Domänen:
Login-ID: (0x2,0xFC38EC05)
Login-Arten: 3
Anmeldeprozess: NtLmSsp
Authentifizierungspaket: NTLM
Workstation-Name: 098B11CAF05E4A0
Login-GUID:-
Anrufer-Benutzername: -
Quadrate rufen: -
Anrufer-Login-ID: -
Anrufer-Prozess-ID: -
Lieferdienste: -
Quellnetzwerkadresse: 192.168.197.35
Quellport: 0
Name des Anruferprozesses: 16 %
Login-Typ 4: Batch
Wenn Windows eine geplante Aufgabe ausführt, erstellt der Scheduled Task Service zunächst eine neue Login-Sitzung für die Aufgabe, damit sie unter dem für diese geplanten Aufgabe konfigurierten Benutzerkonto ausgeführt werden kann. Wenn diese Anmeldung erscheint, verzeichnet Windows sie als Typ 4 im Log. Für andere Arten von Arbeitsaufgabensystemen kann es je nach Design auch ein Typ-4-Login-Ereignis beim Arbeitsbeginn erzeugen. Typ-4-Login zeigt in der Regel an, dass eine geplante Aufgabe startet, Es könnte jedoch auch ein böswilliger Nutzer sein, der das Benutzerpasswort über eine geplante Aufgabe errät, was zu einem Typ-4-Login-Fehlschlag führen würde, aber dieser fehlgeschlagene Login könnte auch dadurch verursacht werden, dass das Benutzerpasswort der geplanten Aufgabe nicht synchron geändert wurde, zum Beispiel dass das Benutzerpasswort geändert wurde und es in der geplanten Aufgabe nicht geändert wurde.
Login-Typ 5: Service
Ähnlich wie bei geplanten Aufgaben ist jeder Dienst so konfiguriert, dass er unter einem bestimmten Benutzerkonto läuft. Wenn ein Dienst startet, erstellt Windows zunächst eine Login-Sitzung für diesen speziellen Benutzer, die als Typ 5 eingezeichnet wird. Fehlgeschlagener Typ 5 zeigt in der Regel an, dass sich das Passwort des Benutzers geändert hat und hier nicht aktualisiert wurde; natürlich kann dies auch durch eine Passwortvermutung eines böswilligen Benutzers verursacht werden, aber das ist weniger wahrscheinlich. Da das Erstellen eines neuen Dienstes oder das Bearbeiten eines bestehenden Dienstes standardmäßig die Identität eines Administrators oder Serversoperators erfordert, ist der böswillige Nutzer dieser Identität bereits fähig genug, seine schlechten Taten zu begehen, und es besteht keine Notwendigkeit, das Passwort des Dienstes zu erraten.
Sie haben sich erfolgreich in Ihr Konto eingeloggt.
Themen:
Sicherheits-ID: SYSTEM
Kontoname: NAUTICAR-X200$
Konto-Domain: WORKGROUP
Login-ID: 0x3e7
Login-Typ: 5
Neue Logins:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Konto-Domain: NT AUTHORITY
Login-ID: 0x3e7
Login GUID:{000000000-0000-0000-00000-00000000000}
Prozessinformationen:
Prozess-ID: 0x254
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Verhandeln
Lieferdienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird auf dem abgerufenen Computer nach der Anmeldung generiert.
Das Betrefffeld zeigt das Konto im lokalen System an, das die Anmeldung anfordert. Dies ist in der Regel ein Dienst (wie ein Server-Service) oder ein lokaler Prozess (wie Winlogon.exe oder Services.exe).
Login-Typ 7: Entsperren
Sie möchten vielleicht, dass die entsprechende Arbeitsstation automatisch einen passwortgeschützten Bildschirmschoner startet, wenn ein Benutzer seinen Computer verlässt, und wenn ein Benutzer zum Entsperren zurückkehrt, betrachtet Windows diese Entsperrung als Typ-7-Login, und ein fehlgeschlagener Typ-7-Login zeigt an, dass jemand das falsche Passwort eingegeben hat oder versucht, den Computer zu entsperren.
Login-Typ 8: NetworkCleartext
Dieser Login zeigt an, dass es sich um einen Typ-3-Netzwerk-Login handelt, aber das Passwort für diesen Login wird über das Netzwerk per Klartext übertragen, und der Windows-Server-Dienst erlaubt keine Klartext-Authentifizierung, um sich mit einem gemeinsamen Ordner oder Drucker zu verbinden; soweit ich weiß, geschieht dies nur, wenn man sich mit einem ASP-Skript über Advapi anmeldet oder ein Benutzer sich mit der Basis-Authentifizierung bei IIS anmeldet. Advapi werden alle in der Spalte Login-Prozess aufgeführt.
Erfolgreicher Web-Login:
Benutzername: IUSR_HP-8DFC7CA1B32C
Domäne: HP-8DFC7CA1B32C
Login-ID: (0x0,0x89F503)
Login-Typ: 8
Anmeldeprozess: Advapi
Authentifizierungspaket: Verhandeln
Arbeitsstationsname: HP-8DFC7CA1B32C
Login-GUID:-
Anrufer-Benutzername: NETWORK SERVICE
Rufautorität: NT AUTHORITY
Anrufer-Login-ID: (0x0,0x3E4)
Anrufer-Process-ID: 3656
Lieferdienste: -
Quellnetzwerkadresse: -
Quellport: -
Name des Anruferprozesses: 16 %
Login-Typ 9: Neue Zugangsdaten
Wenn Sie ein Programm mit dem /netonly-Parameter ausführen, führt RUNAS es als lokal aktuell angemeldeter Benutzer aus, aber wenn das Programm sich mit anderen Computern im Netzwerk verbinden muss, verbindet es sich mit dem im RUNAS-Befehl angegebenen Benutzer, und Windows zeichnet diese Anmeldung als Typ 9 auf. Wenn der RUNAS-Befehl nicht den /netonly-Parameter hat, wird das Programm als angegebener Benutzer ausgeführt, aber der Login-Typ im Log ist 2.
Login-Typ 10: RemoteInteractive
Wenn Sie über Terminal Services, Remote Desktop oder Remote Assistance auf einen Computer zugreifen, markiert Windows ihn als Typ 10, um ihn vom echten Console Login zu unterscheiden; beachten Sie, dass dieser Login-Typ in Versionen vor XP nicht unterstützt wurde, zum Beispiel schreibt Windows 2000 Terminal Services Login weiterhin als Typ 2.
Login-Typ 11: CachedInteractive
Windows unterstützt eine Funktion namens zwischengespeicherter Login, die besonders für mobile Nutzer vorteilhaft ist, etwa wenn Sie sich als Domänenbenutzer außerhalb Ihres Netzwerks anmelden und sich nicht bei einem Domänencontroller anmelden können, der standardmäßig die Hashes der letzten 10 interaktiven Domänenanmeldungen zwischenspeichert, und wenn Sie sich später als Domänenbenutzer anmelden und kein Domänencontroller verfügbar ist, verwendet Windows diese Hashes zur Verifizierung Ihrer Identität.
Das Obige beschreibt den Login-Typ von Windows, aber Windows 2000 zeichnet standardmäßig keine Sicherheitsprotokolle auf; Sie müssen zunächst die "Audit Login Events" unter der Gruppenrichtlinie "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" aktivieren, um die obigen Loginformationen zu sehen. Ich hoffe, dass diese detaillierten Aufzeichnungen allen helfen, die Systemsituation besser zu verstehen und die Netzwerkstabilität aufrechtzuerhalten. |
Veröffentlicht am 14.11.2018 16:19:16
|
|
|
