Windowsi turvalogi puhul leiad tihti erinevaid väärtusi sisselogimise tüübi jaoks. Neid on 2, 3, 5, 8 jne. Kõige levinumad tüübid on 2 (interaktiivne) ja 3 (veeb).
Võimalikud sisselogimistüübi väärtused on allpool üksikasjalikult loetletud
Sisselogimise tüüp 2: Interaktiivne sisselogimine
See peaks olema esimene sisselogimismeetod, mis pähe tuleb, nn interaktiivne sisselogimine viitab kasutaja poolt arvuti konsoolile tehtud sisselogimisele, see tähendab kohaliku klaviatuuri sisselogimisele.
Sisselogimise tüüp 3: Võrk
Kui pääsed arvutisse võrgust, märgitakse Windows enamasti Type 3-ks, enamasti siis, kui ühendud jagatud kausta või jagatud printeriga. Enamasti registreeritakse see tüübina ka IIS-i sisselogimisel interneti kaudu, välja arvatud põhiline autentimismeetod IIS-i sisselogimine, mis registreeritakse tüübina 8 ja mida kirjeldatakse allpool.
Edukas veebisisselogimine:
Kasutajanimi:
Domeenid:
Sisselogimise ID: (0x2,0xFC38EC05)
Sisselogimise tüübid: 3
Sisselogimisprotsess: NtLmSsp
Autentimispakett: NTLM
Tööjaama nimi: 098B11CAF05E4A0
Logi sisse GUID:-
Helistaja kasutajanimi: -
Kutsuvad ruudud: -
Helistaja sisselogimise ID: -
Helistaja protsessi ID: -
Kohaletoimetamise teenused: -
Lähtevõrgu aadress: 192.168.197.35
Allikaport: 0
Helistaja protsessi nimi: %16
Sisselogimise tüüp 4: partii
Kui Windows käivitab ajastatud ülesande, loob ajastatud ülesandeteenistus esmalt ülesande jaoks uue sisselogimisseansi, et see saaks töötada selle ülesande jaoks seadistatud kasutajakonto all; kui see sisselogimine ilmub, salvestab Windows selle logisse tüübi 4 kujul, teiste tööülesannete süsteemide puhul, sõltuvalt selle disainist, võib see töö alustamisel genereerida ka tüüpi 4 sisselogimissündmuse, tüüp 4 sisselogimine näitab tavaliselt, et ajastatud ülesanne algab, Siiski võib see olla ka pahatahtlik kasutaja, kes arvab parooli ajastatud ülesande kaudu, mis põhjustab 4. tüüpi sisselogimise ebaõnnestumise, kuid see ebaõnnestunud sisselogimine võib olla põhjustatud ka sellest, et ajastatud ülesande kasutajaparool ei muutu sünkroonselt, näiteks kasutaja parool on muudetud ja unustatakse seda ajastatud ülesandes muuta.
Sisselogimise tüüp 5: Teenus
Sarnaselt ajastatud ülesannetele on iga teenus seadistatud töötama konkreetse kasutajakonto all; teenuse käivitamisel loob Windows esmalt selle konkreetse kasutaja jaoks sisselogimisseansi, mis salvestatakse tüübina 5, ebaõnnestunud tüüp 5 näitab tavaliselt, et kasutaja parool on muutunud ja pole siin uuendatud, muidugi võib see olla põhjustatud ka pahatahtliku kasutaja parooli äraarvamisest, kuid see on vähem tõenäoline. Kuna uue teenuse loomine või olemasoleva teenuse muutmine nõuab vaikimisi administraatori või serverioperaatori identiteeti, on selle identiteedi pahatahtlik kasutaja juba piisavalt võimeline oma halbu tegusid tegema ning pole vaja teenuse parooli ära arvata.
Oled edukalt oma kontole sisse loginud.
Teemad:
Turva-ID: SÜSTEEM
Konto nimi: NAUTICAR-X200$
Konto domeen: WORKGROUP
Sisselogimiskood: 0x3e7
Sisselogimise tüüp: 5
Uued sisselogimised:
Turva-ID: SÜSTEEM
Konto nimi: SYSTEM
Konto domeen: NT AUTHORITY
Sisselogimiskood: 0x3e7
Logi sisse GUID:{000000000-0000-0000-0000-000000000}
Protsessiinfo:
Protsessi ID: 0x254
Protsessi nimi: C:\Windows\System32\services.exe
Võrguinfo:
Tööjaama nimi:
Lähtevõrgu aadress: -
Allikaport: -
Üksikasjalik autentimisinfo:
Sisselogimisprotsess: Advapi
Autentimispakett: Läbirääkimised
Kohaletoimetamise teenused: -
Paketi nimi (ainult NTLM): -
Klahvi pikkus: 0
See sündmus genereeritakse ligipääsetavas arvutis pärast sisselogimissessiooni loomist.
Teema väli näitab kontot kohalikus süsteemis, mis taotleb sisselogimist. See on tavaliselt teenus (näiteks serveriteenus) või kohalik protsess (näiteks Winlogon.exe või Services.exe).
Sisselogimine tüüp 7: Lukust lahti
Võid soovida, et vastav tööjaam käivitaks automaatselt parooliga kaitstud ekraanisäästja, kui kasutaja arvutist lahkub, ja kui kasutaja tuleb tagasi luku avama, peab Windows seda avamistoimingut Type 7 sisselogimiseks ning ebaõnnestunud Type 7 sisselogimine näitab, et keegi on sisestanud vale parooli või üritab arvutit avada.
Sisselogimise tüüp 8: NetworkCleartext
See sisselogimine näitab, et tegemist on 3. tüüpi võrgu sisselogimisega, kuid selle sisselogimise parool edastatakse võrgu kaudu lihttekstina ning Windows Serveri teenus ei luba tavalist autentimist ühise kausta või printeriga ühendada, nii palju kui mina tean, ainult siis, kui logitakse sisse ASP skriptist Advapi abil või kasutaja logib sisse IIS-i lihtsa autentimisega. Advapi on kõik loetletud sisselogimisprotsessi veerus.
Edukas veebisisselogimine:
Kasutajanimi: IUSR_HP-8DFC7CA1B32C
Domeen: HP-8DFC7CA1B32C
Sisselogimise ID: (0x0,0x89F503)
Sisselogimistüüp: 8
Sisselogimisprotsess: Advapi
Autentimispakett: Läbirääkimised
Tööjaama nimi: HP-8DFC7CA1B32C
Logi sisse GUID:-
Helistaja kasutajanimi: NETWORK SERVICE
Kutsuv võim: NT AUTHORITY
Helistaja sisselogimise ID: (0x0,0x3E4)
Helistaja protsessi ID: 3656
Kohaletoimetamise teenused: -
Lähtevõrgu aadress: -
Allikaport: -
Helistaja protsessi nimi: %16
Sisselogimise tüüp 9: Uued volitused
Kui käivitad programmi parameetriga /netonly, käivitab RUNAS selle kohaliku praeguse sisselogitud kasutajana, kuid kui programm peab ühenduma teiste arvutitega võrgus, ühendub ta RUNAS käsuga määratud kasutajaga ning Windows salvestab selle sisselogimise tüübina 9, kui RUNAS käsul puudub /netonly parameeter, siis programm töötab määratud kasutajana, kuid logi sisselogimistüüp on 2.
Sisselogimise tüüp 10: RemoteInteractive
Kui pääsed arvutisse Terminal Servicesi, Remote Desktopi või Remote Assistance'i kaudu, märgib Windows selle Type 10-ks, et eristada seda tõelisest konsooli sisselogimisest; pane tähele, et seda tüüpi ei toetatud enne XP versiooni, näiteks Windows 2000 kirjutab endiselt Terminal Services Login kui Type 2.
Sisselogimise tüüp 11: CachedInteractive
Windows toetab funktsiooni nimega vahemällu logimine, mis on eriti kasulik mobiilsetele kasutajatele, näiteks kui logid sisse domeenikasutajana väljaspool oma võrku ja ei saa sisse logida domeenikontrollerisse, mis vaikimisi salvestab viimase 10 interaktiivse domeeni sisselogimise mandaadi räsi, ning kui hiljem logid sisse domeeni kasutajana ja domeenikontrollerit pole saadaval, kasutab Windows neid räsi sinu identiteedi kontrollimiseks.
Ülaltoodud kirjeldab Windowsi sisselogimise tüüpi, kuid Windows 2000 ei salvesta vaikimisi turvalogisid, esmalt tuleb lubada "Audit Login Events" grupipoliitikas "Arvuti konfiguratsioon/Windowsi seaded/turvaseaded/Kohalikud poliitikad/Audit poliitikad", et näha ülaltoodud logiinfot. Loodan, et see üksikasjalik andmeteave aitab kõigil paremini mõista süsteemi olukorda ja säilitada võrgu stabiilsust. |
Postitatud 14.11.2018 16:19:16
|
|
|
