Al revisar el registro de seguridad de Windows, a menudo encuentras diferentes valores para el tipo de inicio de sesión. Hay 2, 3, 5, 8, etc. Los tipos más comunes son el 2 (interactivo) y el 3 (web).
Los posibles valores de tipo de inicio de sesión se detallan a continuación
Tipo de inicio de sesión 2: Inicio de sesión interactivo
Este debería ser el primer método de inicio de sesión que se te ocurra; el llamado inicio de sesión interactivo se refiere al inicio de sesión realizado por el usuario en la consola del ordenador, es decir, el inicio de sesión realizado en el teclado local.
Tipo de inicio de sesión 3: Red
Cuando accedes a un ordenador desde una red, Windows se marca como Tipo 3 en la mayoría de los casos, la mayoría de las veces al conectarte a una carpeta compartida o a una impresora compartida. En la mayoría de los casos, también se registra como este tipo al iniciar sesión en IIS a través de Internet, excepto en el método básico de autenticación del inicio de sesión de IIS, que se registrará como tipo 8, que se describirá a continuación.
Inicio de sesión exitoso:
Nombre de usuario:
Dominios:
ID de acceso: (0x2,0xFC38EC05)
Tipos de acceso: 3
Proceso de inicio de sesión: NtLmSsp
Paquete de autenticación: NTLM
Nombre de la estación de trabajo: 098B11CAF05E4A0
Inicio de sesión GUID:-
Nombre de usuario de la llamada: -
Llamando casillas: -
ID de acceso a la llamada: -
ID del proceso del llamante: -
Servicios de entrega: -
Dirección de red de origen: 192.168.197.35
Port de origen: 0
Nombre del proceso de llamada: %16
Tipo de inicio de sesión 4: Batch
Cuando Windows ejecuta una tarea programada, el Servicio de Tareas Programadas primero crea una nueva sesión de inicio de sesión para la tarea para que pueda ejecutarse bajo la cuenta de usuario configurada para esta tarea programada; cuando aparece este inicio de sesión, Windows la registra como tipo 4 en el registro; para otros tipos de sistemas de tareas de trabajo, dependiendo de su diseño, también puede generar un evento de inicio de sesión tipo 4 al iniciar el trabajo; el inicio de sesión tipo 4 suele indicar que comienza una tarea programada. Sin embargo, también podría ser un usuario malicioso que adivina la contraseña de usuario a través de una tarea programada, lo que provocaría un fallo de inicio de sesión tipo 4, pero este fallido de inicio de sesión también podría deberse a que la contraseña de usuario de la tarea programada no se cambia de forma sincrónica, como que la contraseña de usuario se cambiara y se olvidara de cambiarla en la tarea programada.
Tipo de inicio de sesión 5: Servicio
Similar a las tareas programadas, cada servicio está configurado para ejecutarse bajo una cuenta de usuario específica; cuando se inicia un servicio, Windows crea primero una sesión de inicio de sesión para ese usuario específico, que se registrará como tipo 5; el tipo 5 fallido suele indicar que la contraseña del usuario ha cambiado y no se ha actualizado aquí, por supuesto, esto también puede deberse a la suposición de contraseña de un usuario malicioso, pero esto es menos probable. Como crear un nuevo servicio o editar un servicio existente requiere por defecto la identidad de administrador o operadores de servidor, el usuario malicioso de esta identidad ya es lo suficientemente capaz para cometer sus malas acciones, y no hay necesidad de adivinar la contraseña del servicio.
Has iniciado sesión con éxito en tu cuenta.
Temas:
ID de seguridad: SYSTEM
Nombre de la cuenta: NAUTICAR-X200$
Dominio de la cuenta: WORKGROUP
ID de acceso: 0x3e7
Tipo de acceso: 5
Nuevos accesos:
ID de seguridad: SYSTEM
Nombre de la cuenta: SYSTEM
Dominio de cuenta: NT AUTHORITY
ID de acceso: 0x3e7
Inicio de sesión GUID:{000000000-0000-0000-0000-000000000}
Información sobre el proceso:
ID de proceso: 0x254
Nombre del proceso: C:\Windows\System32\services.exe
Información de red:
Nombre de la estación de trabajo:
Dirección de la red de origen: -
Fuente de puerto: -
Información detallada de autenticación:
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negociar
Servicios de entrega: -
Nombre del paquete (solo NTLM): -
Longitud de la llave: 0
Este evento se genera en el ordenador accedido después de que se crea la sesión de inicio de sesión.
El campo Asunto indica la cuenta en el sistema local que solicita iniciar sesión. Esto suele ser un servicio (como un servicio servidor) o un proceso local (como Winlogon.exe o Services.exe).
Tipo de inicio de sesión 7: Desbloquear
Puede que quieras que la estación de trabajo correspondiente inicie automáticamente un protector de pantalla protegido por contraseña cuando un usuario sale de su ordenador, y cuando un usuario vuelve para desbloquear, Windows considera esta operación de desbloqueo como un inicio de sesión Tipo 7, y un inicio de sesión fallido Tipo 7 indica que alguien ha introducido la contraseña equivocada o que alguien está intentando desbloquear el ordenador.
Tipo de inicio de sesión 8: RedRedTexto claro
Este inicio de sesión indica que es un inicio de sesión de red tipo 3, pero la contraseña de este inicio de sesión se transmite por la red mediante texto plano, y el servicio de Windows Server no permite la autenticación por texto plano para conectarse a una carpeta o impresora compartida; que yo sepa, solo ocurre al iniciar sesión desde un script ASP usando Advapi o un usuario iniciando sesión en IIS mediante autenticación básica. Advapi aparecerá en la columna de Proceso de Inicio de Sesión.
Inicio de sesión exitoso:
Nombre de usuario: IUSR_HP-8DFC7CA1B32C
Dominio: HP-8DFC7CA1B32C
ID de acceso: (0x0,0x89F503)
Tipo de acceso: 8
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negociar
Nombre de la estación de trabajo: HP-8DFC7CA1B32C
Inicio de sesión GUID:-
Nombre de usuario de llamada: SERVICIO DE RED
Autoridad de Llamada: NT AUTHORITY
ID de acceso de llamada: (0x0,0x3E4)
ID del proceso de llamada: 3656
Servicios de entrega: -
Dirección de la red de origen: -
Fuente de puerto: -
Nombre del proceso de llamada: %16
Tipo de inicio de sesión 9: Nuevas credenciales
Cuando ejecutas un programa con el parámetro /netonly, RUNAS lo ejecuta como el usuario local con inicio de sesión actual, pero si el programa necesita conectarse a otros ordenadores de la red, se conectará con el usuario especificado en el comando RUNAS, y Windows registrará este inicio de sesión como tipo 9; si el comando RUNAS no tiene el parámetro /netonly, entonces el programa se ejecutará como el usuario especificado, pero el tipo de inicio de sesión en el registro es 2.
Tipo de inicio de sesión 10: RemoteInteractive
Cuando accedes a un ordenador a través de Servicios de Terminal, Escritorio Remoto o Asistencia Remota, Windows lo marcará como Tipo 10 para distinguirlo del inicio de sesión real de la Consola; ten en cuenta que este tipo de inicio de sesión no estaba soportado en versiones anteriores a XP; por ejemplo, Windows 2000 seguirá escribiendo el Inicio de sesión de Servicios de Terminal como Tipo 2.
Tipo de inicio de sesión 11: CachedInteractive
Windows soporta una función llamada inicio de sesión en caché, que es especialmente beneficiosa para usuarios móviles, como cuando inicias sesión como usuario de dominio fuera de tu red y no puedes acceder a un controlador de dominio, que por defecto Windows almacena en caché los hashes de credenciales de los últimos 10 inicios de sesión interactivos de dominio, y si más adelante inicias sesión como usuario de dominio y no hay controlador de dominio disponible, Windows usará estos hashes para verificar tu identidad.
Lo anterior describe el tipo de inicio de sesión de Windows, pero Windows 2000 no registra registros de seguridad por defecto; primero debes activar los "Eventos de Auditoría de Inicio de Sesión" bajo la Directiva de Grupo "Configuración del Ordenador/Configuración de Windows/Configuración de Seguridad/Políticas Locales/Políticas de Auditoría" para ver la información del registro anterior. Espero que esta información detallada de los registros ayude a todos a comprender mejor la situación del sistema y a mantener la estabilidad de la red. |
Publicado en 14/11/2018 16:19:16
|
|
|
