Kun Windowsin tietoturvaloki, löytyy usein eri arvoja kirjautumistyypille. Niitä on 2, 3, 5, 8 jne. Yleisimmät tyypit ovat 2 (interaktiivinen) ja 3 (verkko).
Mahdolliset kirjautumistyypin arvot on lueteltu yksityiskohtaisesti alla
Kirjautumistyyppi 2: Interaktiivinen kirjautuminen
Tämän pitäisi olla ensimmäinen kirjautumismenetelmä, joka tulee mieleen, niin kutsuttu interaktiivinen kirjautuminen tarkoittaa käyttäjän tekemää kirjautumista tietokoneen konsolilla, eli kirjautumista paikallisella näppäimistöllä.
Kirjautumistyyppi 3: Verkko
Kun käytät tietokonetta verkosta, Windows on useimmissa tapauksissa merkitty Type 3:ksi, useimmiten yhdistettäessä jaettuun kansioon tai jaettuun tulostimeen. Useimmissa tapauksissa se kirjataan myös tällä tyypille, kun kirjaudutaan IIS:ään Internetin kautta, paitsi perus todennusmenetelmä, IIS-kirjautuminen, joka tallennetaan tyypiksi 8 ja joka kuvataan alla.
Onnistunut verkkokirjautuminen:
Käyttäjänimi:
Domainit:
Kirjautumistunnus: (0x2,0xFC38EC05)
Kirjautumistyypit: 3
Kirjautumisprosessi: NtLmSsp
Todennuspaketti: NTLM
Työaseman nimi: 098B11CAF05E4A0
Kirjaudu GUID:-
Soittajan käyttäjänimi: -
Kutsuruudut: -
Soittajan kirjautumistunnus: -
Soittajan prosessitunnus: -
Toimituspalvelut: -
Lähdeverkko-osoite: 192.168.197.35
Lähdeportti: 0
Soittajan prosessin nimi: %16
Kirjautuminen tyyppi 4: Erä
Kun Windows suorittaa ajoitetun tehtävän, Aikataulutettu tehtäväpalvelu luo ensin uuden kirjautumisistunnon tehtävälle, jotta se voidaan suorittaa käyttäjätilin alla, joka on määritetty tälle tehtävälle. Kun tämä kirjautuminen ilmestyy, Windows tallentaa sen lokissa tyyppinä 4. Muiden työtehtäväjärjestelmien kohdalla, riippuen sen suunnittelusta, se voi myös luoda tyypin 4 kirjautumistapahtuman työn alussa, tyyppi 4 kirjautuminen yleensä tarkoittaa, että ajoitettu tehtävä alkaa, Toisaalta kyseessä voi olla myös haitallinen käyttäjä, joka arvaa käyttäjäsalasanan ajoitetun tehtävän kautta, mikä johtaisi tyypin 4 kirjautumisvirheeseen, mutta tämä epäonnistunut kirjautuminen voi johtua myös siitä, ettei ajoitetun tehtävän käyttäjäsalasanaa vaihdeta synkronisesti, esimerkiksi käyttäjäsalasanan vaihtamisesta ja sen unohtamisesta aikataulutetussa tehtävässä.
Kirjautumistyyppi 5: Palvelu
Samoin kuin aikataulutetuissa tehtävissä, jokainen palvelu on konfiguroitu toimimaan tietyn käyttäjätilin alla, kun palvelu käynnistyy, Windows luo ensin kirjautumisistunnon tälle käyttäjälle, joka tallennetaan tyypin 5 muodossa. Epäonnistunut tyyppi 5 tarkoittaa yleensä, että käyttäjän salasana on muuttunut eikä sitä ole päivitetty täällä. Toki tämä voi johtua myös haitallisen käyttäjän salasanaarvauksesta, mutta tämä on epätodennäköisempää. Koska uuden palvelun luominen tai olemassa olevan palvelun muokkaaminen vaatii oletuksena ylläpitäjän tai palvelinoperaattorin identiteetin, tämän identiteetin haitallinen käyttäjä on jo tarpeeksi kykenevä tekemään pahantahtoiset tekonsa, eikä palvelun salasanaa tarvitse arvailla.
Olet kirjautunut tilillesi onnistuneesti.
Aiheet:
Turvatunnus: JÄRJESTELMÄ
Tilin nimi: NAUTICAR-X200$
Tilin verkkotunnus: TYÖRYHMÄ
Kirjautumistunnus: 0x3e7
Kirjautumistyyppi: 5
Uudet kirjautumiset:
Turvatunnus: JÄRJESTELMÄ
Tilin nimi: SYSTEM
Tilin verkkotunnus: NT AUTHORITY
Kirjautumistunnus: 0x3e7
Kirjautuminen GUID:{000000000-0000-0000-0000-000000000}
Prosessitiedot:
Prosessitunnus: 0x254
Prosessin nimi: C:\Windows\System32\services.exe
Verkkotiedot:
Työaseman nimi:
Lähdeverkko-osoite: -
Lähdeportti: -
Yksityiskohtaiset todennustiedot:
Kirjautumisprosessi: Advapi
Todennuspaketti: Neuvottele
Toimituspalvelut: -
Paketin nimi (vain NTLM): -
Avaimen pituus: 0
Tämä tapahtuma luodaan käytettävällä tietokoneella kirjautumissession luomisen jälkeen.
Aihe-kenttä osoittaa paikallisen järjestelmän tilin, joka pyytää kirjautua sisään. Tämä on yleensä palvelu (kuten palvelinpalvelu) tai paikallinen prosessi (kuten Winlogon.exe tai Services.exe).
Kirjautuminen tyyppi 7: Avaa
Saatat haluta, että vastaava työasema käynnistää automaattisesti salasanalla suojatun näytönsäästäjän, kun käyttäjä poistuu tietokoneeltaan, ja kun käyttäjä palaa avaamaan sen, Windows pitää tätä avaustoimintoa Type 7 -kirjautumisena, ja epäonnistunut Type 7 -kirjautuminen tarkoittaa, että joku on syöttänyt väärän salasanan tai joku yrittää avata tietokonetta.
Kirjautumistyyppi 8: NetworkCleartext
Tämä kirjautuminen osoittaa, että kyseessä on tyyppi 3 verkkokirjautuminen, mutta salasana lähetetään verkon yli selkotekstinä, eikä Windows Server -palvelu salli selväkielistä tunnistautumista yhdistämistä jaettuun kansioon tai tulostimeen; tietääkseni se tapahtuu vain, kun kirjaudutaan sisään ASP-skriptillä Advapilla tai käyttäjä kirjautuu IIS:ään perustunnistautumisen avulla. Kaikki Advapi listataan Kirjautumisprosessi-sarakkeessa.
Onnistunut verkkokirjautuminen:
Käyttäjänimi: IUSR_HP-8DFC7CA1B32C
Toimiala: HP-8DFC7CA1B32C
Kirjautumistunnus: (0x0,0x89F503)
Kirjautumistyyppi: 8
Kirjautumisprosessi: Advapi
Todennuspaketti: Neuvottele
Työaseman nimi: HP-8DFC7CA1B32C
Kirjaudu GUID:-
Soittajan käyttäjänimi: NETWORK SERVICE
Kutsuvalta: NT AUTHORITY
Soittajan kirjautumistunnus: (0x0,0x3E4)
Soittajan prosessitunnus: 3656
Toimituspalvelut: -
Lähdeverkko-osoite: -
Lähdeportti: -
Soittajan prosessin nimi: %16
Kirjautuminen tyyppi 9: Uudet tunnukset
Kun suoritat ohjelman /netonly-parametrilla, RUNAS suorittaa sen paikallisena nykyisenä kirjautuneena käyttäjänä, mutta jos ohjelman täytyy yhdistää muihin verkon tietokoneisiin, se yhdistää käyttäjän RUNAS-komennolla, ja Windows tallentaa tämän kirjautumisen tyypin 9 mukaisesti. Jos RUNAS-komennolla ei ole /netonly-parametria, ohjelma suoritetaan määritetyn käyttäjän mukaan, mutta kirjautumistyyppi lokissa on 2.
Kirjautumistyyppi 10: RemoteInteractive
Kun käytät tietokonetta Terminal Servicesin, Remote Desktopin tai Remote Assistancen kautta, Windows merkitsee sen Type 10:ksi erottaakseen sen varsinaisesta konsolikirjautumisesta. Huomaa, että tätä kirjautumistyyppiä ei tuettu ennen XP:tä, esimerkiksi Windows 2000 kirjoittaa edelleen Terminal Services Login Type 2.
Kirjautumistyyppi 11: CachedInteractive
Windows tukee välimuistissa olevaa kirjautumisominaisuutta, joka on erityisen hyödyllinen mobiilikäyttäjille, kuten silloin, kun kirjaudut verkkotunnuksen käyttäjänä verkon ulkopuolelta etkä voi kirjautua toimialueen ohjaimeen, joka oletuksena välimuistittaa tunnisteen tiivisteet viimeisestä kymmenestä interaktiivisesta verkkotunnuksen kirjautumisesta, ja jos myöhemmin kirjaudut verkkotunnuksen käyttäjänä eikä toimialueen ohjainta ole saatavilla, Windows käyttää näitä tiivisteitä henkilöllisyytesi varmistamiseksi.
Yllä kuvaa Windowsin kirjautumistyyppiä, mutta Windows 2000 ei tallenna tietoturvalokeja oletuksena, sinun täytyy ensin ottaa käyttöön "Audit Login Events" ryhmäkäytännöstä "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" nähdäksesi yllä olevat lokitiedot. Toivon, että tämä yksityiskohtainen tieto auttaa kaikkia ymmärtämään järjestelmän tilanteen paremmin ja ylläpitämään verkon vakautta. |
Julkaistu 14.11.2018 16.19.16
|
|
|
