Saat log keamanan Windows, Anda sering menemukan nilai yang berbeda untuk jenis login. Ada 2, 3, 5, 8, dll. Jenis yang paling umum adalah 2 (interaktif) dan 3 (web).
Kemungkinan nilai jenis login tercantum secara rinci di bawah ini
Jenis Login 2: Login Interaktif
Ini harus menjadi metode login pertama yang Anda pikirkan, yang disebut login interaktif mengacu pada login yang dilakukan oleh pengguna di konsol komputer, yaitu login yang dibuat di keyboard lokal.
Jenis Login 3: Jaringan
Saat Anda mengakses komputer dari jaringan, Windows ditandai sebagai Tipe 3 dalam banyak kasus, paling sering saat menyambungkan ke folder bersama atau printer bersama. Dalam kebanyakan kasus, ini juga dicatat sebagai jenis ini saat masuk ke IIS melalui Internet, kecuali untuk metode autentikasi dasar login IIS, yang akan dicatat sebagai tipe 8, yang akan dijelaskan di bawah ini.
Login web yang berhasil:
Nama pengguna:
Domain:
ID Login: (0x2,0xFC38EC05)
Jenis Login: 3
Proses login: NtLmSsp
Paket otentikasi: NTLM
Nama Workstation: 098B11CAF05E4A0
Login GUID:-
Nama Pengguna Penelepon: -
Kotak Panggilan: -
ID Login Penelepon: -
ID Proses Penelepon: -
Layanan Pengiriman: -
Alamat jaringan sumber: 192.168.197.35
Port Sumber: 0
Nama proses penelepon: %16
Jenis Login 4: Batch
Saat Windows menjalankan tugas terjadwal, Layanan Tugas Terjadwal pertama-tama akan membuat sesi login baru untuk tugas tersebut sehingga dapat berjalan di bawah akun pengguna yang dikonfigurasi untuk tugas terjadwal ini, ketika login ini muncul, Windows mencatatnya sebagai tipe 4 dalam log, untuk jenis sistem tugas kerja lainnya, tergantung pada desainnya, itu juga dapat menghasilkan peristiwa login tipe 4 saat mulai bekerja, login tipe 4 biasanya menunjukkan bahwa tugas terjadwal dimulai, Namun, bisa juga pengguna jahat yang menebak kata sandi pengguna melalui tugas terjadwal, yang akan mengakibatkan peristiwa kegagalan login tipe 4, tetapi login yang gagal ini juga dapat disebabkan oleh kata sandi pengguna dari tugas terjadwal yang tidak diubah secara sinkron, seperti kata sandi pengguna yang diubah dan lupa mengubahnya dalam tugas terjadwal.
Jenis Login 5: Layanan
Mirip dengan tugas terjadwal, setiap layanan dikonfigurasi untuk berjalan di bawah akun pengguna tertentu, ketika layanan dimulai, Windows pertama-tama membuat sesi login untuk pengguna tertentu ini, yang akan dicatat sebagai tipe 5, gagal tipe 5 biasanya menunjukkan bahwa kata sandi pengguna telah berubah dan belum diperbarui di sini, tentu saja, ini juga dapat disebabkan oleh tebakan kata sandi pengguna yang jahat, tetapi ini kecil kemungkinannya, Karena membuat layanan baru atau mengedit layanan yang ada memerlukan identitas administrator atau operator server secara default, pengguna jahat dari identitas ini sudah cukup mampu untuk melakukan perbuatan buruknya, dan tidak perlu repot-repot menebak kata sandi layanan.
Anda telah berhasil masuk ke akun Anda.
Topik:
ID Keamanan: SISTEM
Nama Rekening: NAUTICAR-X200$
Domain akun: WORKGROUP
ID Login: 0x3e7
Jenis Login: 5
Login Baru:
ID Keamanan: SISTEM
Nama Akun: SISTEM
Domain Akun: NT AUTHORITY
ID Login: 0x3e7
Login GUID:{000000000-0000-0000-0000-0000000000000}
Informasi proses:
ID Proses: 0x254
Nama proses: C: \ Windows \ System32 \ services.exe
Informasi jaringan:
Nama Workstation:
Alamat Jaringan Sumber: -
Port Sumber: -
Informasi autentikasi terperinci:
Proses login: Advapi
Paket otentikasi: Bernegosiasi
Layanan Pengiriman: -
Nama Paket (hanya NTLM): -
Panjang kunci: 0
Peristiwa ini dibuat pada komputer yang diakses setelah sesi login dibuat.
Bidang Subjek menunjukkan akun di sistem lokal yang meminta untuk masuk. Ini biasanya berupa layanan (seperti layanan Server) atau proses lokal (seperti Winlogon.exe atau Services.exe).
Jenis Login 7: Buka Kunci
Anda mungkin ingin workstation yang sesuai secara otomatis memulai screensaver yang dilindungi kata sandi saat pengguna meninggalkan komputernya, dan ketika pengguna kembali untuk membuka kunci, Windows menganggap operasi pembukaan kunci ini sebagai login Tipe 7, dan login Tipe 7 yang gagal menunjukkan bahwa seseorang telah memasukkan kata sandi yang salah atau seseorang mencoba membuka kunci komputer.
Jenis Login 8: NetworkCleartext
Login ini menunjukkan bahwa ini adalah login jaringan tipe 3, tetapi kata sandi untuk login ini ditransmisikan melalui jaringan melalui teks biasa, dan layanan Windows Server tidak mengizinkan autentikasi teks biasa untuk terhubung ke folder atau printer bersama, sejauh yang saya tahu itu hanya saat masuk dari skrip ASP menggunakan Advapi atau pengguna yang masuk ke IIS menggunakan autentikasi dasar. Advapi semua akan tercantum di kolom Proses Login.
Login web yang berhasil:
Nama pengguna: IUSR_HP-8DFC7CA1B32C
Domain: HP-8DFC7CA1B32C
ID Login: (0x0,0x89F503)
Jenis Login: 8
Proses login: Advapi
Paket otentikasi: Bernegosiasi
Nama Workstation: HP-8DFC7CA1B32C
Login GUID:-
Nama pengguna penelepon: LAYANAN JARINGAN
Otoritas Panggilan: OTORITAS NT
ID Login Penelepon: (0x0,0x3E4)
ID proses penelepon: 3656
Layanan Pengiriman: -
Alamat Jaringan Sumber: -
Port Sumber: -
Nama proses penelepon: %16
Jenis Login 9: Kredensial Baru
Saat Anda menjalankan program dengan parameter /netonly, RUNAS menjalankannya sebagai pengguna lokal yang masuk saat ini, tetapi jika program perlu terhubung ke komputer lain di jaringan, program akan terhubung dengan pengguna yang ditentukan dalam perintah RUNAS, dan Windows akan merekam login ini sebagai tipe 9, jika perintah RUNAS tidak memiliki parameter /netonly, maka program akan berjalan sebagai pengguna yang ditentukan, tetapi jenis login dalam log adalah 2.
Jenis Login 10: RemoteInteractive
Saat Anda mengakses komputer melalui Terminal Services, Remote Desktop, atau Remote Assistance, Windows akan menandainya sebagai Tipe 10 untuk membedakannya dari Console Login yang sebenarnya, perhatikan bahwa jenis login ini tidak didukung dalam versi sebelum XP, misalnya, Windows 2000 masih akan menulis Terminal Services Login sebagai Tipe 2.
Jenis Login 11: CachedInteractive
Windows mendukung fitur yang disebut login cache, yang sangat bermanfaat bagi pengguna seluler, seperti saat Anda masuk sebagai pengguna domain di luar jaringan Anda dan tidak dapat masuk ke pengontrol domain, yang secara default Windows menyimpan hash kredensial untuk 10 login domain interaktif terakhir, dan jika nanti Anda masuk sebagai pengguna domain dan tidak ada pengontrol domain yang tersedia, Windows akan menggunakan hash ini untuk memverifikasi identitas Anda.
Di atas menjelaskan jenis login Windows, tetapi Windows 2000 tidak mencatat log keamanan secara default, Anda harus terlebih dahulu mengaktifkan "Peristiwa Login Audit" di bawah Kebijakan Grup "Konfigurasi Komputer/Pengaturan Windows/Pengaturan Keamanan/Kebijakan Lokal/Kebijakan Audit" untuk melihat informasi log di atas. Saya berharap informasi catatan terperinci ini akan membantu semua orang memahami situasi sistem dengan lebih baik dan menjaga stabilitas jaringan. |
Diposting pada 14/11/2018 16.19.16
|
|
|
