Windowsイベントログ詳細 - ログインタイプ

クズども · 掲載地 2018/11/14 16:19:16

Windowsのセキュリティログでは、ログインタイプに異なる値を見つかることがよくあります。 2、3、5、8といった種類があります。最も一般的なタイプは2(インタラクティブ)と3(ウェブ)です。

可能なログインタイプ値は以下に詳細を示します

ログインタイプ2:インタラクティブログイン

これが最初に思い浮かぶログイン方法であるべきです。いわゆるインタラクティブログインとは、ユーザーがコンピューターのコンソールで行ったログイン、つまりローカルキーボードでのログインを指します。

ログインタイプ3:ネットワーク

ネットワークからコンピュータにアクセスすると、ほとんどの場合Windowsはタイプ3としてマークされ、特に共有フォルダや共有プリンターに接続する際にそうなります。ほとんどの場合、インターネット経由でIISにログインする際もこのタイプとして記録されますが、IISログインの基本的な認証方法はタイプ8として記録されます。これは後述します。

成功したウェブログイン:

  ユーザー名:

  ドメイン:

  ログインID:(0x2,0xFC38EC05)

  ログインタイプ:3

  ログイン手順:NtLmSsp

  認証パケット:NTLM

  ワークステーション名:098B11CAF05E4A0

  ログインガイド:

  発信者ユーザー名: -

  コーリングスクエア: -

  発信者ログインID: -

  発信者処理番号: -

  配達サービス:

  送信元ネットワークアドレス:192.168.197.35

  ソースポート:0

  呼び出し元プロセス名:%16

ログインタイプ4:バッチ

Windowsがスケジュールタスクを実行すると、スケジュールタスクサービスはまずそのタスクの新しいログインセッションを作成し、そのスケジュールタスクに設定されたユーザーアカウントで実行できるようにします。このログインが表示されると、Windowsはログにタイプ4として記録します。他のタイプのタスクシステムでは、その設計によっては作業開始時にタイプ4ログインイベントを生成することもあります。タイプ4ログインは通常、スケジュールタスクの開始を示します。しかし、スケジュールタスクを通じて悪意のあるユーザーがユーザーパスワードを推測した場合、タイプ4のログイン失敗イベントが発生することもありますが、この失敗はスケジュールタスクのユーザーパスワードが同期的に変更されていないこと、例えばユーザーパスワードを変更してスケジュールタスクで変更し忘れたことが原因で起こることもあります。

ログインタイプ5:サービス

スケジュールタスクと同様に、各サービスは特定のユーザーアカウントで実行されるように設定されています。サービスが起動すると、Windowsはまずその特定のユーザー向けにログインセッションを作成し、タイプ5として記録されます。失敗タイプ5は通常、ユーザーのパスワードが変更されていてここで更新されていないことを示します。もちろん、悪意のあるユーザーのパスワード推測による場合もありますが、その可能性は低いです。新しいサービスの作成や既存サービスの編集には、デフォルトで管理者またはserversoperatorsの身元が必要なため、悪意のあるユーザーはすでに悪事を働く能力があり、サービスのパスワードを推測する必要はない。

アカウントに正常にログインしました。

トピック:

セキュリティID:システム

アカウント名:NAUTICAR-X200$

アカウントドメイン:WORKGROUP

ログインID:0x3e7

ログインタイプ:5

新規ログイン:

セキュリティID:システム

アカウント名:SYSTEM

アカウントドメイン:NT AUTHORITY

ログインID:0x3e7

ログインGUID:{000000000-0000-0000-0000-00000000000}

プロセス情報:

プロセスID:0x254

プロセス名:C:\Windows\System32\services.exe

ネットワーク情報:

ワークステーション名:

送信元ネットワークアドレス: -

ソースポート: -

詳細な認証情報:

ログイン手順:Advapi

認証パケット:交渉

配達サービス:

パケット名(NTLMのみ): -

キー長:0

このイベントはログインセッションが作成された後にアクセスされたコンピュータ上で生成されます。

件名フィールドは、サインインを要求するローカルシステム上のアカウントを示します。これは通常、サービス(例えばサーバーサービス)またはローカルプロセス(Winlogon.exeやServices.exe)です。

ログインタイプ7:アンロック

ユーザーがパソコンを離れると対応するワークステーションが自動的にパスワード保護されたスクリーンセーバーを起動し、ユーザーが解除に戻ってアンロックすると、Windowsはこのアンロック操作をタイプ7ログインとみなし、失敗した場合は誰かが間違ったパスワードを入力したか、誰かがパソコンのロック解除を試みていることを意味します。

ログインタイプ8:NetworkCleartext

このログインはタイプ3ネットワークログインであることを示していますが、パスワードはネットワーク上でプレーンテキストで送信されており、Windows Serverサービスでは共有フォルダやプリンターへのプレーンテキスト認証は許可されていません。私の知る限り、Advapiを使ってASPスクリプトからログインするか、基本認証でIISにログインした場合のみ可能です。 Advapiはすべてログインプロセスの列に記載されます。

成功したウェブログイン:

  ユーザー名:IUSR_HP-8DFC7CA1B32C

  ドメイン:HP-8DFC7CA1B32C

  ログインID:(0x0,0x89F503)

  ログインタイプ:8

  ログイン手順:Advapi

  認証パケット:交渉

  ワークステーション名:HP-8DFC7CA1B32C

  ログインガイド:

  発信者ユーザー名:NETWORK SERVICE

  呼びかけの権威:NTの権威

  発信者ログインID:(0x0,0x3E4)

  発信者処理ID:3656

  配達サービス:

  送信元ネットワークアドレス: -

  ソースポート: -

  呼び出し元プロセス名:%16

ログインタイプ9:新しい認証情報

/netonlyパラメータを持つプログラムを実行すると、RUNASはローカルの現在ログインユーザーとして実行しますが、ネットワーク上の他のコンピュータに接続する必要がある場合はRUNASコマンドで指定されたユーザーと接続し、Windowsはこのログインをタイプ9として記録します。もしRUNASコマンドに/netonlyパラメータがなければ、プログラムは指定されたユーザーとして実行されますが、ログ内のログインタイプは2です。

ログインタイプ10:RemoteInteractive

ターミナルサービス、リモートデスクトップ、リモートアシスタンスを通じてコンピュータにアクセスすると、Windowsは本当のコンソールログインと区別するためにタイプ10としてマークします。このログインタイプはXP以前のバージョンではサポートされていません。例えば、Windows 2000ではターミナルサービスログインはタイプ2として書き込まれます。

ログインタイプ11:キャッシュインタラクティブ

Windowsはキャッシュログインという機能をサポートしており、これは特にモバイルユーザーにとって便利です。例えば、ネットワーク外でドメインユーザーとしてログインし、ドメインコントローラーにログインできない場合(デフォルトではWindowsは直近10回のインタラクティブドメインログインの認証情報をキャッシュします)。後でドメインユーザーとしてログインしてもドメインコントローラーが利用できない場合、Windowsはこれらのハッシュを使って本人確認を行います。

上記はWindowsのログインタイプを説明していますが、Windows 2000ではデフォルトでセキュリティログを記録しません。上記のログ情報を見るには、まずグループポリシー「Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies」の「Audit Login Events」を有効にする必要があります。この詳細な記録情報が、皆さんがシステム状況をよりよく把握し、ネットワークの安定性を維持する助けになれば幸いです。

[窓] Windowsイベントログ詳細 - ログインタイプ

関連記事

閲覧したセクション