Quando si verifica il log di sicurezza di Windows, spesso si trovano valori diversi per il tipo di login. Ce ne sono 2, 3, 5, 8, ecc. I tipi più comuni sono 2 (interattivi) e 3 (web).
I possibili valori del tipo di login sono elencati in dettaglio di seguito
Tipo di accesso 2: Accesso interattivo
Questo dovrebbe essere il primo metodo di login a cui pensi: il cosiddetto login interattivo si riferisce al login effettuato dall'utente sulla console del computer, cioè il login effettuato sulla tastiera locale.
Tipo di accesso 3: Rete
Quando accedi a un computer da una rete, Windows viene contrassegnato come Tipo 3 nella maggior parte dei casi, più spesso quando si collega a una cartella condivisa o a una stampante condivisa. Nella maggior parte dei casi, viene registrato anche come questo tipo quando si accede a IIS tramite Internet, ad eccezione del metodo base di autenticazione del login IIS, che sarà registrato come tipo 8, descritto di seguito.
Login web di successo:
Nome utente:
Domini:
ID accesso: (0x2,0xFC38EC05)
Tipi di accesso: 3
Processo di accesso: NtLmSsp
Pacchetto di autenticazione: NTLM
Nome della postazione: 098B11CAF05E4A0
GUIDA di accesso:-
Nome utente chiamante: -
Quadrati di chiamata: -
ID accesso chiamante: -
ID Processo del Chiamante: -
Servizi di consegna: -
Indirizzo di rete sorgente: 192.168.197.35
Fonte di porting: 0
Nome del processo chiamante: %16
Tipo di accesso 4: Batch
Quando Windows esegue un task programmato, il Scheduled Task Service crea prima una nuova sessione di login per il task in modo che possa essere eseguito con l'account utente configurato per tale task programmato; quando appare questo accesso, Windows lo registra come tipo 4 nel log; per altri tipi di sistemi di task di lavoro, a seconda del suo design, può anche generare un evento di login di tipo 4 all'inizio del lavoro; il login di tipo 4 di solito indica l'inizio di un task programmato, Tuttavia, potrebbe anche essere un utente malevolo che indovina la password utente tramite un compito programmato, il che comporterebbe un fallimento del login di tipo 4, ma questo accesso fallito potrebbe anche essere causato dal fatto che la password utente del task programmato non viene cambiata in modo sincrono, ad esempio la password utente cambiata e il dimenticamento di cambiarla nel task programmato.
Tipo di accesso 5: Servizio
Simile alle attività programmate, ogni servizio è configurato per essere eseguito sotto un account utente specifico; quando un servizio avvia, Windows crea prima una sessione di login per quell'utente specifico, che verrà registrata come tipo 5; il tipo 5 fallito di solito indica che la password dell'utente è cambiata e non è stata aggiornata qui, ovviamente questo può anche essere causato da una ipotesi di password di un utente malevolo, ma questo è meno probabile. Poiché creare un nuovo servizio o modificare un servizio esistente richiede di default l'identità di amministratore o di operatori del server, l'utente malevolente di questa identità è già abbastanza capace di compiere le sue azioni scorrette e non c'è bisogno di indovinare la password del servizio.
Hai effettuato l'accesso con successo al tuo account.
Argomenti:
ID Sicurezza: SISTEMA
Nome Conto: NAUTICAR-X200$
Dominio dell'account: WORKGROUP
ID accesso: 0x3e7
Tipo di accesso: 5
Nuovi accessi:
ID Sicurezza: SISTEMA
Nome Conto: SYSTEM
Dominio dell'account: NT AUTHORITY
ID accesso: 0x3e7
Accedi GUID:{000000000-0000-0000-0000-00000000}
Informazioni sul processo:
ID processo: 0x254
Nome del processo: C:\Windows\System32\services.exe
Informazioni sulla rete:
Nome postazione:
Indirizzo di rete di origine: -
Porto Fonte: -
Informazioni dettagliate sull'autenticazione:
Processo di accesso: Advapi
Pacchetto di autenticazione: Negozia
Servizi di consegna: -
Nome del pacchetto (solo NTLM): -
Lunghezza della chiave: 0
Questo evento viene generato sul computer a cui si accede dopo la creazione della sessione di login.
Il campo Oggetto indica l'account sul sistema locale che richiede l'accesso. Di solito si tratta di un servizio (come un servizio server) o di un processo locale (come Winlogon.exe o Services.exe).
Tipo di accesso 7: Sblocco
Potresti voler che la postazione di lavoro corrispondente avvii automaticamente uno screensaver protetto da password quando un utente esce dal computer, e quando un utente torna per sbloccare, Windows considera questa operazione di sblocco come un login di Tipo 7, e un accesso fallito di Tipo 7 indica che qualcuno ha inserito la password sbagliata o che qualcuno sta cercando di sbloccare il computer.
Tipo di accesso 8: NetworkCleartext
Questo login indica che si tratta di un login di rete di tipo 3, ma la password di questo login viene trasmessa via rete tramite testo in chiaro, e il servizio Windows Server non permette l'autenticazione in chiaro di collegarsi a una cartella o stampante condivisa; per quanto ne so, avviene solo quando si effettua l'accesso da uno script ASP tramite Advapi o quando un utente accede a IIS tramite autenticazione di base. Advapi sarà elencato nella colonna Processo di Accesso.
Login web di successo:
Nome utente: IUSR_HP-8DFC7CA1B32C
Dominio: HP-8DFC7CA1B32C
ID accesso: (0x0,0x89F503)
Tipo di accesso: 8
Processo di accesso: Advapi
Pacchetto di autenticazione: Negozia
Nome della postazione: HP-8DFC7CA1B32C
GUIDA di accesso:-
Nome utente chiamante: NETWORK SERVICE
Autorità Chiamata: NT AUTHORITY
ID accesso chiamata: (0x0.0x3E4)
ID processo chiamante: 3656
Servizi di consegna: -
Indirizzo di rete di origine: -
Porto Fonte: -
Nome del processo chiamante: %16
Tipo di accesso 9: Nuove credenziali
Quando esegui un programma con il parametro /netonly, RUNAS lo esegue come utente locale attualmente logato, ma se il programma deve connettersi ad altri computer sulla rete, si connetterà con l'utente specificato nel comando RUNAS e Windows registrerà questo login come tipo 9; se il comando RUNAS non ha il parametro /netonly, allora il programma verrà eseguito come utente specificato, ma il tipo di login nel log è 2.
Tipo di accesso 10: RemoteInteractive
Quando accedi a un computer tramite Terminal Services, Remote Desktop o Remote Assistance, Windows lo segna come Tipo 10 per distinguerlo dal vero login Console; nota che questo tipo di login non era supportato nelle versioni precedenti a XP, ad esempio, Windows 2000 scrive comunque Terminal Services Login come Tipo 2.
Tipo di accesso 11: CachedInteractive
Windows supporta una funzione chiamata login con cache, particolarmente vantaggiosa per gli utenti mobili, ad esempio quando accedi come utente di dominio fuori dalla rete e non puoi accedere a un controller di dominio, che di default Windows memorizza in cache gli hash delle credenziali degli ultimi 10 login interattivi di dominio, e se successivamente accedi come utente di dominio e non è disponibile alcun controller di dominio, Windows userà questi hash per verificare la tua identità.
Quanto sopra descrive il tipo di login di Windows, ma Windows 2000 non registra di default i log di sicurezza; devi prima abilitare "Audit Login Events" sotto la Politica di Gruppo "Configurazione Computer/Impostazioni Windows/Impostazioni di sicurezza/Politiche locali/Politiche di audit" per vedere le informazioni del log sopra. Spero che queste informazioni dettagliate aiutino tutti a comprendere meglio la situazione del sistema e a mantenere la stabilità della rete. |
Pubblicato su 14/11/2018 16:19:16
|
|
|
