Όταν το αρχείο καταγραφής ασφαλείας των Windows, συχνά βρίσκετε διαφορετικές τιμές για τον τύπο σύνδεσης. Υπάρχουν 2, 3, 5, 8 κ.λπ. Οι πιο συνηθισμένοι τύποι είναι 2 (διαδραστικοί) και 3 (ιστός).
Οι πιθανές τιμές τύπου σύνδεσης παρατίθενται αναλυτικά παρακάτω
Τύπος σύνδεσης 2: Διαδραστική σύνδεση
Αυτή θα πρέπει να είναι η πρώτη μέθοδος σύνδεσης που σκέφτεστε, η λεγόμενη διαδραστική σύνδεση αναφέρεται στη σύνδεση που πραγματοποιεί ο χρήστης στην κονσόλα του υπολογιστή, δηλαδή στη σύνδεση που γίνεται στο τοπικό πληκτρολόγιο.
Τύπος σύνδεσης 3: Δίκτυο
Όταν αποκτάτε πρόσβαση σε έναν υπολογιστή από ένα δίκτυο, τα Windows επισημαίνονται ως Τύπος 3 στις περισσότερες περιπτώσεις, πιο συχνά κατά τη σύνδεση σε έναν κοινόχρηστο φάκελο ή έναν κοινόχρηστο εκτυπωτή. Στις περισσότερες περιπτώσεις, καταγράφεται επίσης ως αυτός ο τύπος κατά τη σύνδεση στις υπηρεσίες IIS μέσω του Internet, εκτός από τη βασική μέθοδο ελέγχου ταυτότητας της σύνδεσης στις υπηρεσίες IIS, η οποία θα καταγραφεί ως τύπος 8, η οποία θα περιγραφεί παρακάτω.
Επιτυχής σύνδεση στο διαδίκτυο:
Όνομα χρήστη:
Τομείς:
Αναγνωριστικό σύνδεσης: (0x2,0xFC38EC05)
Τύποι σύνδεσης: 3
Διαδικασία σύνδεσης: NtLmSsp
Πακέτο ελέγχου ταυτότητας: NTLM
Όνομα σταθμού εργασίας: 098B11CAF05E4A0
GUID σύνδεσης:-
Όνομα χρήστη καλούντος: -
Κλήση πλατειών: -
Αναγνωριστικό σύνδεσης καλούντος: -
Αναγνωριστικό διαδικασίας καλούντος: -
Υπηρεσίες παράδοσης: -
Διεύθυνση δικτύου πηγής: 192.168.197.35
Θύρα πηγής: 0
Όνομα διεργασίας καλούντος: %16
Τύπος σύνδεσης 4: Παρτίδα
Όταν τα Windows εκτελούν μια προγραμματισμένη εργασία, η Προγραμματισμένη Υπηρεσία Εργασιών θα δημιουργήσει πρώτα μια νέα περίοδο σύνδεσης για την εργασία, ώστε να μπορεί να εκτελεστεί με τον λογαριασμό χρήστη που έχει διαμορφωθεί για αυτήν την προγραμματισμένη εργασία, όταν εμφανιστεί αυτή η σύνδεση, τα Windows την καταγράφουν ως τύπου 4 στο αρχείο καταγραφής, για άλλους τύπους συστημάτων εργασιών εργασίας, ανάλογα με το σχεδιασμό του, μπορεί επίσης να δημιουργήσει ένα συμβάν σύνδεσης τύπου 4 κατά την έναρξη της εργασίας, η σύνδεση τύπου 4 συνήθως υποδεικνύει ότι ξεκινά μια προγραμματισμένη εργασία, Ωστόσο, θα μπορούσε επίσης να είναι ένας κακόβουλος χρήστης που μαντεύει τον κωδικό πρόσβασης χρήστη μέσω μιας προγραμματισμένης εργασίας, κάτι που θα είχε ως αποτέλεσμα ένα συμβάν αποτυχίας σύνδεσης τύπου 4, αλλά αυτή η αποτυχημένη σύνδεση θα μπορούσε επίσης να προκληθεί από τον κωδικό πρόσβασης χρήστη της προγραμματισμένης εργασίας που δεν αλλάζει συγχρονισμένα, όπως ο κωδικός πρόσβασης χρήστη που αλλάζει και ξεχνάει να τον αλλάξει στην προγραμματισμένη εργασία.
Τύπος σύνδεσης 5: Υπηρεσία
Παρόμοια με τις προγραμματισμένες εργασίες, κάθε υπηρεσία έχει ρυθμιστεί ώστε να εκτελείται σε έναν συγκεκριμένο λογαριασμό χρήστη, όταν ξεκινά μια υπηρεσία, τα Windows δημιουργούν πρώτα μια περίοδο σύνδεσης για αυτόν τον συγκεκριμένο χρήστη, η οποία θα καταγραφεί ως τύπος 5, ο αποτυχημένος τύπος 5 συνήθως υποδεικνύει ότι ο κωδικός πρόσβασης του χρήστη έχει αλλάξει και δεν έχει ενημερωθεί εδώ, φυσικά, αυτό μπορεί επίσης να προκληθεί από την εικασία κωδικού πρόσβασης ενός κακόβουλου χρήστη, αλλά αυτό είναι λιγότερο πιθανό, Επειδή η δημιουργία μιας νέας υπηρεσίας ή η επεξεργασία μιας υπάρχουσας υπηρεσίας απαιτεί την ταυτότητα του διαχειριστή ή των διακομιστώνχειριστές από προεπιλογή, ο κακόβουλος χρήστης αυτής της ταυτότητας είναι ήδη αρκετά ικανός να κάνει τις κακές του πράξεις και δεν χρειάζεται να μπείτε στον κόπο να μαντέψετε τον κωδικό πρόσβασης της υπηρεσίας.
Έχετε συνδεθεί με επιτυχία στον λογαριασμό σας.
Θέματα:
Αναγνωριστικό ασφαλείας: SYSTEM
Όνομα λογαριασμού: NAUTICAR-X200$
Τομέας λογαριασμού: WORKGROUP
Αναγνωριστικό σύνδεσης: 0x3e7
Τύπος σύνδεσης: 5
Νέες συνδέσεις:
Αναγνωριστικό ασφαλείας: SYSTEM
Όνομα λογαριασμού: SYSTEM
Τομέας λογαριασμού: NT AUTHORITY
Αναγνωριστικό σύνδεσης: 0x3e7
GUID σύνδεσης:{000000000-0000-0000-0000-00000000000}
Πληροφορίες διαδικασίας:
Αναγνωριστικό διαδικασίας: 0x254
Όνομα διαδικασίας: C:\Windows\System32\services.exe
Πληροφορίες δικτύου:
Όνομα σταθμού εργασίας:
Διεύθυνση δικτύου πηγής: -
Θύρα πηγής: -
Λεπτομερείς πληροφορίες ελέγχου ταυτότητας:
Διαδικασία σύνδεσης: Advapi
Πακέτο ελέγχου ταυτότητας: Διαπραγμάτευση
Υπηρεσίες παράδοσης: -
Όνομα πακέτου (μόνο NTLM): -
Μήκος κλειδιού: 0
Αυτό το συμβάν δημιουργείται στον υπολογιστή στον οποίο έχετε πρόσβαση μετά τη δημιουργία της περιόδου σύνδεσης.
Το πεδίο Θέμα υποδεικνύει το λογαριασμό στο τοπικό σύστημα που ζητά να εισέλθει. Αυτή είναι συνήθως μια υπηρεσία (όπως μια υπηρεσία διακομιστή) ή μια τοπική διαδικασία (όπως Winlogon.exe ή Services.exe).
Τύπος σύνδεσης 7: Ξεκλείδωμα
Μπορεί να θέλετε ο αντίστοιχος σταθμός εργασίας να ξεκινά αυτόματα μια προφύλαξη οθόνης που προστατεύεται με κωδικό πρόσβασης όταν ένας χρήστης φεύγει από τον υπολογιστή του και όταν ένας χρήστης επιστρέφει για ξεκλείδωμα, τα Windows θεωρούν ότι αυτή η λειτουργία ξεκλειδώματος είναι σύνδεση τύπου 7 και μια αποτυχημένη σύνδεση τύπου 7 υποδεικνύει ότι κάποιος έχει εισαγάγει λάθος κωδικό πρόσβασης ή κάποιος προσπαθεί να ξεκλειδώσει τον υπολογιστή.
Τύπος σύνδεσης 8: NetworkCleartext
Αυτή η σύνδεση υποδεικνύει ότι πρόκειται για σύνδεση δικτύου τύπου 3, αλλά ο κωδικός πρόσβασης για αυτήν τη σύνδεση μεταδίδεται μέσω του δικτύου μέσω απλού κειμένου και η υπηρεσία Windows Server δεν επιτρέπει τη σύνδεση ελέγχου ταυτότητας απλού κειμένου σε κοινόχρηστο φάκελο ή εκτυπωτή, από όσο γνωρίζω είναι μόνο όταν συνδέεστε από μια δέσμη ενεργειών ASP χρησιμοποιώντας το Advapi ή έναν χρήστη που συνδέεται στις υπηρεσίες IIS χρησιμοποιώντας βασικό έλεγχο ταυτότητας. Τα Advapi θα εμφανίζονται όλα στη στήλη Διαδικασία σύνδεσης.
Επιτυχής σύνδεση στο διαδίκτυο:
Όνομα χρήστη: IUSR_HP-8DFC7CA1B32C
Τομέας: HP-8DFC7CA1B32C
Αναγνωριστικό σύνδεσης: (0x0,0x89F503)
Τύπος σύνδεσης: 8
Διαδικασία σύνδεσης: Advapi
Πακέτο ελέγχου ταυτότητας: Διαπραγμάτευση
Όνομα σταθμού εργασίας: HP-8DFC7CA1B32C
GUID σύνδεσης:-
Όνομα χρήστη καλούντος: ΥΠΗΡΕΣΙΑ ΔΙΚΤΥΟΥ
Καλούσα Αρχή: NT AUTHORITY
Αναγνωριστικό σύνδεσης καλούντος: (0x0,0x3E4)
Αναγνωριστικό διαδικασίας καλούντος: 3656
Υπηρεσίες παράδοσης: -
Διεύθυνση δικτύου πηγής: -
Θύρα πηγής: -
Όνομα διεργασίας καλούντος: %16
Τύπος σύνδεσης 9: Νέα διαπιστευτήρια
Όταν εκτελείτε ένα πρόγραμμα με την παράμετρο /netonly, το RUNAS το εκτελεί ως ο τοπικός τρέχων συνδεδεμένος χρήστης, αλλά εάν το πρόγραμμα χρειάζεται να συνδεθεί με άλλους υπολογιστές στο δίκτυο, θα συνδεθεί με τον χρήστη που καθορίζεται στην εντολή RUNAS και τα Windows θα καταγράψουν αυτήν τη σύνδεση ως τύπο 9, εάν η εντολή RUNAS δεν έχει την παράμετρο /netonly, τότε το πρόγραμμα θα εκτελεστεί ως ο καθορισμένος χρήστης, αλλά ο τύπος σύνδεσης στο αρχείο καταγραφής είναι 2.
Τύπος σύνδεσης 10: RemoteInteractive
Όταν αποκτάτε πρόσβαση σε έναν υπολογιστή μέσω των υπηρεσιών Terminal Services, της Απομακρυσμένης επιφάνειας εργασίας ή της Απομακρυσμένης Βοήθειας, τα Windows θα τον επισημάνουν ως Type 10 για να τον διακρίνουν από την πραγματική σύνδεση στην κονσόλα, σημειώστε ότι αυτός ο τύπος σύνδεσης δεν υποστηρίχθηκε σε εκδόσεις πριν από τα XP, για παράδειγμα, τα Windows 2000 θα εξακολουθούν να γράφουν τη σύνδεση των υπηρεσιών Terminal Services ως Type 2.
Τύπος σύνδεσης 11: CachedInteractive
Τα Windows υποστηρίζουν μια δυνατότητα που ονομάζεται σύνδεση στο cached, η οποία είναι ιδιαίτερα επωφελής για τους χρήστες κινητών συσκευών, όπως όταν συνδέεστε ως χρήστης τομέα εκτός του δικτύου σας και δεν μπορείτε να συνδεθείτε σε έναν ελεγκτή τομέα, ο οποίος από προεπιλογή αποθηκεύει προσωρινά τους κατακερματισμούς διαπιστευτηρίων για τις τελευταίες 10 συνδέσεις αλληλεπιδραστικού τομέα και εάν αργότερα συνδεθείτε ως χρήστης τομέα και δεν υπάρχει διαθέσιμος ελεγκτής τομέα, τα Windows θα χρησιμοποιήσουν αυτούς τους κατακερματισμούς για να επαληθεύσουν την ταυτότητά σας.
Τα παραπάνω περιγράφουν τον τύπο σύνδεσης των Windows, αλλά τα Windows 2000 δεν καταγράφουν αρχεία καταγραφής ασφαλείας από προεπιλογή, πρέπει πρώτα να ενεργοποιήσετε τα "Συμβάντα σύνδεσης ελέγχου" στην Πολιτική ομάδας "Διαμόρφωση υπολογιστή/Ρυθμίσεις των Windows/Ρυθμίσεις ασφαλείας/Τοπικές πολιτικές/Πολιτικές ελέγχου" για να δείτε τις παραπάνω πληροφορίες καταγραφής. Ελπίζω ότι αυτές οι λεπτομερείς πληροφορίες εγγραφής θα βοηθήσουν όλους να κατανοήσουν καλύτερα την κατάσταση του συστήματος και να διατηρήσουν τη σταθερότητα του δικτύου. |
Δημοσιεύτηκε στις 14/11/2018 4:19:16 μ.μ.
|
|
|
