Lors du journal de sécurité Windows, on trouve souvent différentes valeurs pour le type de connexion. Il y en a 2, 3, 5, 8, etc. Les types les plus courants sont 2 (interactif) et 3 (web).
Les valeurs possibles de type de connexion sont listées en détail ci-dessous
Type de connexion 2 : Connexion interactive
C’est la première méthode de connexion à laquelle vous pensez, la connexion dite interactive fait référence à la connexion effectuée par l’utilisateur sur la console de l’ordinateur, c’est-à-dire la connexion effectuée sur le clavier local.
Type de connexion 3 : Réseau
Lorsque vous accédez à un ordinateur depuis un réseau, Windows est souvent indiqué comme Type 3, le plus souvent lors de la connexion à un dossier partagé ou à une imprimante partagée. Dans la plupart des cas, il est également enregistré comme ce type lors de la connexion à IIS via Internet, à l’exception de la méthode d’authentification de base de la connexion IIS, qui sera enregistrée comme type 8, décrite ci-dessous.
Connexion web réussie :
Nom d’utilisateur:
Domaines :
ID de connexion : (0x2,0xFC38EC05)
Types de connexion : 3
Processus de connexion : NtLmSsp
Paquet d’authentification : NTLM
Nom de la station de travail : 098B11CAF05E4A0
Connexion GUID :-
Nom d’utilisateur de l’appelant : -
Appels de carrés : -
ID de connexion appelant : -
Identification du processus de l’appelant : -
Services de livraison : -
Adresse réseau source : 192.168.197.35
Source : 0
Nom du processus de l’appelant : %16
Type de connexion 4 : Batch
Lorsque Windows exécute une tâche planifiée, le Service de tâches planifiées crée d’abord une nouvelle session de connexion pour la tâche afin qu’elle puisse s’exécuter sous le compte utilisateur configuré pour cette tâche planifiée ; lorsque cette connexion apparaît, Windows l’enregistre comme type 4 dans le journal ; pour d’autres types de systèmes de tâches de travail, selon sa conception, il peut également générer un événement de connexion de type 4 au démarrage du travail, la connexion type 4 indique généralement qu’une tâche planifiée commence, Cependant, il pourrait aussi s’agir d’un utilisateur malveillant qui devine le mot de passe utilisateur via une tâche planifiée, ce qui entraînerait un échec de connexion de type 4, mais cette erreur de connexion pourrait aussi être causée par le fait que le mot de passe utilisateur de la tâche planifiée n’a pas été modifié de manière synchrone, par exemple le mot de passe utilisateur modifié et l’oubli de le modifier dans la tâche planifiée.
Type de connexion 5 : Service
Comme pour les tâches planifiées, chaque service est configuré pour s’exécuter sous un compte utilisateur spécifique ; lorsqu’un service démarre, Windows crée d’abord une session de connexion pour cet utilisateur spécifique, qui sera enregistrée comme type 5 ; le type 5 échoué indique généralement que le mot de passe de l’utilisateur a changé et n’a pas été mis à jour ici, bien sûr, cela peut aussi être causé par une supposition de mot de passe malveillante, mais c’est moins probable. Parce que créer un nouveau service ou modifier un service existant nécessite par défaut l’identité d’un administrateur ou d’opérateurs de serveur, l’utilisateur malveillant de cette identité est déjà assez capable de commettre ses actes répréhensibles, et il n’est pas nécessaire de deviner le mot de passe du service.
Vous vous êtes connecté avec succès à votre compte.
Sujets :
ID de sécurité : SYSTEM
Nom du compte : NAUTICAR-X200$
Domaine du compte : WORKGROUP
ID de connexion : 0x3e7
Type de connexion : 5
Nouveaux identifiants :
ID de sécurité : SYSTEM
Nom du compte : SYSTEM
Domaine du compte : AUTORITÉ DU TERRITOIRE DU TERRITOIRE
ID de connexion : 0x3e7
Connexion GUID :{00000000-0000-0000-0000-000000-00000000}
Informations sur le processus :
ID du processus : 0x254
Nom du processus : C :\Windows\System32\services.exe
Informations sur le réseau :
Nom de la station de travail :
Adresse réseau source : -
Source : -
Informations détaillées sur l’authentification :
Processus de connexion : Advapi
Paquet d’authentification : Négocier
Services de livraison : -
Nom du paquet (NTLM uniquement) : -
Durée de la clé : 0
Cet événement est généré sur l’ordinateur accédé après la création de la session de connexion.
Le champ Objet indique le compte sur le système local qui demande à se connecter. Il s’agit généralement d’un service (comme un service serveur) ou d’un processus local (comme Winlogon.exe ou Services.exe).
Type de connexion 7 : Déverrouiller
Vous pouvez vouloir que la station de travail correspondante démarre automatiquement un économiseur d’écran protégé par mot de passe lorsqu’un utilisateur quitte son ordinateur, et lorsqu’un utilisateur revient pour déverrouiller, Windows considère cette opération de déverrouillage comme une connexion Type 7, et une connexion Type 7 ratée indique que quelqu’un a saisi le mauvais mot de passe ou que quelqu’un essaie de déverrouiller l’ordinateur.
Type de connexion 8 : NetworkCleartext
Cette connexion indique qu’il s’agit d’une connexion réseau de type 3, mais le mot de passe de cette connexion est transmis via le réseau via le texte clair, et le service Windows Server n’autorise pas l’authentification en clair pour se connecter à un dossier ou une imprimante partagée, à ma connaissance cela n’est fait que lors de la connexion depuis un script ASP via Advapi ou lorsqu’un utilisateur se connecte à IIS via une authentification basique. Advapi sera tous listé dans la colonne Processus de connexion.
Connexion web réussie :
Nom d’utilisateur : IUSR_HP-8DFC7CA1B32C
Domaine : HP-8DFC7CA1B32C
ID de connexion : (0x0,0x89F503)
Type de connexion : 8
Processus de connexion : Advapi
Paquet d’authentification : Négocier
Nom de la station de travail : HP-8DFC7CA1B32C
Connexion GUID :-
Nom d’utilisateur de l’appelant : NETWORK SERVICE
Autorité appelante : AUTORITÉ DU TERRITOIRE DU Nord
ID de connexion appelant : (0x0 0x3E4)
ID du processus de l’appelant : 3656
Services de livraison : -
Adresse réseau source : -
Source : -
Nom du processus de l’appelant : %16
Type de connexion 9 : Nouvelles identifiantes
Lorsque vous exécutez un programme avec le paramètre /netonly, RUNAS l’exécute en tant qu’utilisateur local connecté en cours, mais si le programme doit se connecter à d’autres ordinateurs du réseau, il se connectera à l’utilisateur spécifié dans la commande RUNAS, et Windows enregistrera cette connexion comme type 9 ; si la commande RUNAS n’a pas le paramètre /netonly, alors le programme s’exécutera en tant qu’utilisateur spécifié, mais le type de connexion dans le journal est 2.
Type de connexion 10 : RemoteInteractive
Lorsque vous accédez à un ordinateur via les Services de Terminal, le Bureau à distance ou l’Assistance à distance, Windows le marque comme Type 10 pour le distinguer de la véritable Connexion Console ; notez que ce type de connexion n’était pas pris en charge dans les versions antérieures à XP, par exemple, Windows 2000 écrit toujours la Connexion des Services de Terminal comme Type 2.
Type de connexion 11 : CachedInteractive
Windows prend en charge une fonctionnalité appelée connexion en cache, particulièrement bénéfique pour les utilisateurs mobiles, par exemple lorsque vous vous connectez en tant qu’utilisateur de domaine hors de votre réseau et ne pouvez pas vous connecter à un contrôleur de domaine, ce qui par défaut Windows met en cache les hachages d’identifiants des 10 dernières connexions interactives de domaine, et si plus tard vous vous connectez en tant qu’utilisateur de domaine et qu’aucun contrôleur de domaine n’est disponible, Windows utilisera ces hachages pour vérifier votre identité.
Ce qui précède décrit le type de connexion de Windows, mais Windows 2000 n’enregistre pas les journaux de sécurité par défaut, vous devez d’abord activer la « Vérification des événements de connexion » sous la politique de groupe « Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Politiques locales/Politiques d’audit » pour consulter les informations du journal ci-dessus. J’espère que ces informations détaillées aideront chacun à mieux comprendre la situation du système et à maintenir la stabilité du réseau. |
Publié sur 14/11/2018 16:19:16
|
|
|
