Windows 보안 로그를 보면 로그인 유형에 대해 서로 다른 값을 자주 볼 수 있습니다. 2, 3, 5, 8 등으로 나뉩니다. 가장 일반적인 유형은 2(인터랙티브)와 3(웹)입니다.
가능한 로그인 유형 값은 아래에 자세히 나열되어 있습니다
로그인 유형 2: 인터랙티브 로그인
이것이 가장 먼저 생각하는 로그인 방법이어야 하며, 이른바 인터랙티브 로그인은 사용자가 컴퓨터 콘솔, 즉 로컬 키보드에서 로그인하는 로그인을 의미합니다.
로그인 유형 3: 네트워크
네트워크에서 컴퓨터에 접속할 때, 대부분의 경우 윈도우는 타입 3으로 표시되며, 특히 공유 폴더나 공유 프린터에 연결할 때 가장 자주 나타납니다. 대부분의 경우, 인터넷을 통해 IIS에 로그인할 때도 이 유형으로 기록되지만, IIS 로그인이라는 기본 인증 방식은 타입 8로 기록되며, 이는 아래에서 설명할 예정입니다.
성공적인 웹 로그인:
사용자 이름:
도메인:
로그인 ID: (0x2,0xFC38EC05)
로그인 유형: 3가지
로그인 절차: NtLmSsp
인증 패킷: NTLM
워크스테이션 이름: 098B11CAF05E4A0
로그인 가이드:-
발신자 사용자 이름: -
콜링 스퀘어: -
발신자 로그인 ID: -
발신자 처리 번호: -
배달 서비스: -
소스 네트워크 주소: 192.168.197.35
소스 포트: 0
호출자 프로세스 이름: %16
로그인 유형 4: 배치
윈도우가 예약된 작업을 실행하면, 예약된 작업 서비스는 먼저 해당 작업에 대해 새 로그인 세션을 생성하여 해당 작업에 맞게 설정된 사용자 계정으로 실행합니다. 이 로그인이 나타나면 윈도우는 로그에 타입 4로 기록합니다. 다른 유형의 작업 작업 시스템의 경우, 설계에 따라 작업 시작 시 타입 4 로그인 이벤트를 생성할 수 있습니다. 타입 4 로그인은 보통 예약된 작업이 시작됨을 나타냅니다. 하지만 예약된 작업을 통해 악의적인 사용자가 사용자 비밀번호를 추측하여 타입 4 로그인 실패 이벤트가 발생할 수도 있지만, 이 실패는 예약된 작업 사용자 비밀번호가 동기화되어 변경되지 않았기 때문일 수도 있습니다. 예를 들어, 사용자 비밀번호가 변경되어 예약된 작업 중 변경을 깜빡하는 경우도 있습니다.
로그인 유형 5: 서비스
예약된 작업과 유사하게, 각 서비스는 특정 사용자 계정으로 실행되도록 구성되어 있습니다. 서비스가 시작되면 Windows는 먼저 이 특정 사용자를 위한 로그인 세션을 생성하며, 이는 유형 5로 기록됩니다. 실패한 유형 5는 보통 사용자의 비밀번호가 변경되었고 업데이트되지 않았음을 의미합니다. 물론 악의적인 사용자의 비밀번호 추측으로 발생할 수도 있지만, 이는 덜 확률적입니다. 새로운 서비스를 만들거나 기존 서비스를 편집하려면 기본적으로 관리자 또는 서버운영자의 신원이 필요하기 때문에, 이 신원의 악의적인 사용자는 이미 자신의 악행을 저지를 수 있을 만큼 충분히 능력이 있어 서비스 비밀번호를 추측할 필요가 없습니다.
계정에 성공적으로 로그인하셨습니다.
주제:
보안 ID: 시스템
계좌명: NAUTICAR-X200$
계정 도메인: WORKGROUP
로그인 ID: 0x3e7
로그인 유형: 5
신규 로그인:
보안 ID: 시스템
계정 이름: SYSTEM
계좌 도메인: NT AUTHORITY
로그인 ID: 0x3e7
로그인 GUID:{000000000-0000-0000-0000-00000000000}
공정 정보:
프로세스 ID: 0x254
프로세스명: C:\Windows\System32\services.exe
네트워크 정보:
워크스테이션 이름:
출처 네트워크 주소: -
소스 포트: -
상세한 인증 정보:
로그인 절차: Advapi
인증 패킷: 협상
배달 서비스: -
패킷 이름 (NTLM만): -
키 길이: 0
이 이벤트는 로그인 세션이 생성된 후 접근한 컴퓨터에서 생성됩니다.
Subject 필드는 로그인을 요청하는 로컬 시스템의 계정을 나타냅니다. 이는 보통 서비스(예: 서버 서비스) 또는 로컬 프로세스(예: Winlogon.exe 또는 Services.exe)입니다.
로그인 유형 7: 잠금 해제
사용자가 컴퓨터를 떠날 때 해당 워크스테이션이 자동으로 비밀번호로 보호된 화면 보호기를 시작하고, 사용자가 잠금 해제를 위해 돌아오면 Windows는 이 잠금 해제 작업을 Type 7 로그인으로 간주하며, Type 7 로그인 실패는 누군가 잘못된 비밀번호를 입력했거나 누군가 컴퓨터 잠금 해제를 시도하고 있음을 의미합니다.
로그인 유형 8: NetworkCleartext
이 로그인은 타입 3 네트워크 로그인임을 나타내지만, 비밀번호는 네트워크를 통해 평문으로 전송되며, Windows Server 서비스는 공유 폴더나 프린터에 플레인텍스트 인증을 허용하지 않습니다. 제가 알기로는 Advapi를 사용해 ASP 스크립트로 로그인하거나 사용자가 기본 인증으로 IIS에 로그인할 때만 가능합니다. Advapi는 모두 로그인 프로세스 열에 표시됩니다.
성공적인 웹 로그인:
사용자 이름: IUSR_HP-8DFC7CA1B32C
도메인: HP-8DFC7CA1B32C
로그인 ID: (0x0,0x89F503)
로그인 유형: 8
로그인 절차: Advapi
인증 패킷: 협상
워크스테이션 이름: HP-8DFC7CA1B32C
로그인 가이드:-
발신자 사용자 이름: NETWORK SERVICE
부름 권위: 신서 권위
발신자 로그인 ID: (0x0,0x3E4)
발신자 처리 번호: 3656
배달 서비스: -
출처 네트워크 주소: -
소스 포트: -
호출자 프로세스 이름: %16
로그인 유형 9: 새로운 자격 증명
/netonly 파라미터가 있는 프로그램을 실행하면 RUNAS는 해당 로컬 현재 로그인 사용자로 실행하지만, 네트워크의 다른 컴퓨터와 연결해야 할 경우 RUNAS 명령어에 명시된 사용자와 연결하고, Windows는 이 로그인을 타입 9로 기록합니다. 만약 RUNAS 명령에 /netonly 파라미터가 없으면 프로그램은 지정된 사용자로 실행되지만 로그의 로그인 유형은 2입니다.
로그인 유형 10: 원격 인터랙티브
터미널 서비스, 원격 데스크톱, 원격 지원을 통해 컴퓨터에 접속할 때, Windows는 실제 콘솔 로그인과 구분하기 위해 해당 로그인 유형을 Type 10으로 표시합니다. 참고로 이 로그인 유형은 XP 이전 버전에서는 지원되지 않았습니다. 예를 들어, Windows 2000은 여전히 터미널 서비스 로그인을 Type 2로 기록합니다.
로그인 유형 11: 캐시드 인터랙티브
Windows는 캐시 로그인이라는 기능을 지원하는데, 이는 네트워크 외부에서 도메인 사용자로 로그인해 도메인 컨트롤러에 로그인할 수 없을 때 기본적으로 Windows 사용자가 최근 10번의 인터랙티브 도메인 로그인에 대한 자격 증명 해시를 캐시하는 경우에 유용합니다. 나중에 도메인 사용자로 로그인했을 때 도메인 컨트롤러가 없으면 Windows가 이 해시를 이용해 신원 확인을 합니다.
위 내용은 Windows 로그인 유형을 설명하지만, Windows 2000은 기본적으로 보안 로그를 기록하지 않습니다. 위 로그 정보를 보려면 먼저 그룹 정책 "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" 내에서 "Audit Login Events"를 활성화해야 합니다. 이 상세한 기록 정보가 시스템 상황을 더 잘 이해하고 네트워크 안정성을 유지하는 데 도움이 되길 바랍니다. |
게시됨 2018. 11. 14. 오후 4:19:16
|
|
|
