Amikor a Windows biztonsági naplóját használjuk, gyakran eltérő értékeket találsz a bejelentkezési típushoz. Van 2, 3, 5, 8 stb. A leggyakoribb típusok a 2 (interaktív) és a 3 (web).
Az alábbi lehetséges bejelentkezési típus értékek részletesen felsorolva vannak
2-es bejelentkezési típus: Interaktív bejelentkezés
Ez lehet az első bejelentkezési módszer, amire gondolsz, az úgynevezett interaktív bejelentkezés arra a bejelentkezésre utal, amelyet a felhasználó a számítógép konzolján végez, vagyis a helyi billentyűzeten végzett bejelentkezést.
3-as bejelentkezési típus: Hálózat
Amikor hálózatról érsz el egy számítógépet, a Windows a legtöbb esetben 3-as típusként van jelölve, leggyakrabban akkor is, amikor megosztott mappához vagy nyomtatóhoz csatlakozunk. A legtöbb esetben az interneten keresztül történő IIS-be való bejelentkezéskor is ilyen típusként van rögzítve, kivéve az alapvető hitelesítési módszert, az IIS bejelentkezést, amely 8-as típusként lesz rögzítve, és amelyet alább ismertetünk.
Sikeres webes bejelentkezés:
Felhasználónév:
Domainek:
Bejelentkezési azonosító: (0x2,0xFC38EC05)
Bejelentkezési típusok: 3
Bejelentkezési folyamat: NtLmSsp
Hitelesítési csomag: NTLM
Munkaállomás név: 098B11CAF05E4A0
Bejelentkezés GUID:-
Hívó felhasználóneve: -
Hívó négyzetek: -
Hívó bejelentkezési azonosító: -
Hívó Folyamat ID: -
Szállítási szolgáltatások: -
Forráshálózati cím: 192.168.197.35
Forrásport: 0
Hívó folyamat neve: %16
4-es típusú bejelentkezés: Csomag
Amikor a Windows egy ütemezett feladatot futtat, az Ütemezett Feladat Szolgáltatás először létrehoz egy új bejelentkezési ülést a feladathoz, hogy az a megadott feladathoz beállított felhasználói fiók alatt futhasson, amikor ez a bejelentkezés megjelenik, a Windows 4-es típusúként rögzíti a naplóban, más típusú munkafeladatoknál is, a tervezéstől függően a 4-es típusú bejelentkezési eseményt is generálhatja a munka kezdetekor, a 4-es típusú bejelentkezés általában azt jelzi, hogy egy ütemezett feladat indul. Ugyanakkor előfordulhat, hogy egy rosszindulatú felhasználó találgatja ki a felhasználói jelszót egy ütemezett feladat során, ami 4-es típusú bejelentkezési hiba eseményt eredményezhet, de ez a sikertelen bejelentkezés az is lehet, hogy az ütemezett feladat felhasználói jelszavaja nem változik szinkronon, például a felhasználói jelszó megváltozott, és elfelejtette megváltoztatni a tervezett feladatban.
5-ös bejelentkezési típus: Szolgáltatás
A tervezett feladatokhoz hasonlóan minden szolgáltatás egy adott felhasználói fiók alatt van konfigurálva, amikor egy szolgáltatás elindul, a Windows először létrehoz egy bejelentkezési ülést ennek a felhasználónak, amely 5-ös típusként lesz rögzítve, a sikertelen 5-ös típus általában azt jelzi, hogy a felhasználó jelszó megváltozott és nem frissített, természetesen ezt okozhatja rosszindulatú felhasználó jelszó-tippje is, de ez kevésbé valószínű, Mivel egy új szolgáltatás létrehozásához vagy egy meglévő szolgáltatás szerkesztéséhez alapértelmezés szerint az adminisztrátor vagy a szerveroperátor személyazonosságára van szükség, a rosszindulatú felhasználó már elég képes a rossz cselekedeteire, és nincs szükség arra, hogy kitalálja a szolgáltatásjelszót.
Sikeresen bejelentkeztél a fiókodba.
Témák:
Biztonsági azonosító: SYSTEM
Számlanév: NAUTICAR-X200$
Fiókdomain: WORKGROUP
Bejelentkezési azonosító: 0x3e7
Bejelentkezési típus: 5
Új bejelentkezések:
Biztonsági azonosító: SYSTEM
Számlanév: SYSTEM
Számla Domain: NT AUTHORITY
Bejelentkezési azonosító: 0x3e7
Bejelentkezés GUID:{000000000-0000-0000-0000-00000000}
Folyamatinformációk:
Folyamatazonosító: 0x254
Folyamat neve: C:\Windows\System32\services.exe
Hálózati információk:
Munkaállomás neve:
Forráshálózati cím: -
Forrásport: -
Részletes hitelesítési információk:
Bejelentkezési folyamat: Advapi
Hitelesítési csomag: Tárgyalás
Szállítási szolgáltatások: -
Csomagnév (csak NTLM): -
Billentyű hossza: 0
Ez az esemény a hozzáférési számítógépen generálódik a bejelentkezési ülés létrehozása után.
A Subject mező jelzi azt a fiókot a helyi rendszerben, amely bejelentkezést kér. Ez általában szolgáltatás (például szerver szolgáltatás) vagy helyi folyamat (például Winlogon.exe vagy Services.exe).
7-es típusú bejelentkezés: Feloldás
Lehet, hogy a megfelelő munkaállomás automatikusan indítson el jelszóval védett képernyővédőt, amikor a felhasználó elhagyja a számítógépet, és amikor visszatér a feloldáshoz, a Windows ezt a feloldási műveletet 7-es típusú bejelentkezésnek tekinti, és a sikertelen 7-es típusú bejelentkezés azt jelzi, hogy valaki rossz jelszót írt be, vagy valaki megpróbálja feloldani a számítógépet.
8-as típusú bejelentkezés: NetworkCleartext
Ez a bejelentkezés azt jelzi, hogy ez egy 3-as típusú hálózati bejelentkezés, de a jelszó a hálózaton keresztül tiszta szöveggel továbbítódik, és a Windows Server szolgáltatás nem engedélyezi a tiszta szöveges hitelesítést egy megosztott mappához vagy nyomtatóhoz való csatlakozáshoz, amennyire tudom, csak akkor működik, ha ASP szkriptből jelentkezik be Advapi-val, vagy egy felhasználó az IIS-be jelentkezik az alapvető hitelesítéssel. Az Advapi mind a Bejelentkezési folyamat oszlopban lesz felsorolva.
Sikeres webes bejelentkezés:
Felhasználónév: IUSR_HP-8DFC7CA1B32C
Domain: HP-8DFC7CA1B32C
Bejelentkezési azonosító: (0x0,0x89F503)
Bejelentkezési típus: 8
Bejelentkezési folyamat: Advapi
Hitelesítési csomag: Tárgyalás
Munkaállomás neve: HP-8DFC7CA1B32C
Bejelentkezés GUID:-
Hívó felhasználóneve: HÁLÓZATI SZOLGÁLTATÁS
Hívó Hatalom: NT HATÓSÁG
Hívó bejelentkezési azonosító: (0x0,0x3E4)
Hívó folyamat azonosítója: 3656
Szállítási szolgáltatások: -
Forráshálózati cím: -
Forrásport: -
Hívó folyamat neve: %16
9-es típusú bejelentkezés: Új beléptetések
Amikor egy programot futtatsz a /netonly paraméterrel, a RUNAS helyi bejelentkezett felhasználóként fut, de ha a programnak más számítógépekhez kell csatlakoznia a hálózaton, akkor csatlakozik a RUNAS parancsban megadott felhasználóhoz, és a Windows 9-es típusúként rögzíti ezt a bejelentkezést, ha a RUNAS parancs nem tartalmazza a /netonly paramétert, akkor a program a megadott felhasználóként fut, de a bejelentkezési típus a naplóban 2.
10-es bejelentkezés: RemoteInteractive
Amikor egy számítógépet Terminal Services, Remote Desktop vagy Remote Assistance segítségével érsz el, a Windows Type 10-ként jelöli meg, hogy megkülönböztesse az igazi konzolos bejelentkezéstől, megjegyezzük, hogy ez a bejelentkezési típus nem volt támogatott az XP előtti verziókban, például a Windows 2000 továbbra is Type 2-ként írja a Terminal Services Login-t.
Bejelentkezés típus 11: CachedInteractive
A Windows támogatja a cached login nevű funkciót, ami különösen előnyös mobil felhasználók számára, például amikor domainfelhasználóként jelentkezel be a hálózaton kívül, és nem tud bejelentkezni egy domain vezérlőbe, amely alapértelmezés szerint a Windows gyorsítótárat tartalmaz az utolsó 10 interaktív domain bejelentkezés számára, és ha később domain felhasználóként jelentkezel be, és nincs elérhető domain vezérlő, a Windows ezeket a hash-eket használja az azonosítás ellenőrzésére.
A fentiek leírják a Windows bejelentkezési típusát, de a Windows 2000 alapértelmezés szerint nem rögzíti a biztonsági naplókat, először be kell kapcsolnod a "Audit Login Events" opciót a "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" csoportpolitikában, hogy lásd a fenti naplóadatokat. Remélem, hogy ez a részletes nyilvántartási információ segít mindenkinek jobban megérteni a rendszer helyzetét és fenntartani a hálózat stabilitását. |
Közzétéve 2018. 11. 14. 16:19:16
|
|
|
