Når du logger Windows sikkerhet, finner du ofte forskjellige verdier for innloggingstypen. Det finnes 2, 3, 5, 8, osv. De vanligste typene er 2 (interaktiv) og 3 (web).
De mulige innloggingstypene er listet i detalj nedenfor
Innloggingstype 2: Interaktiv innlogging
Dette bør være den første innloggingsmetoden du tenker på, den såkalte interaktive innloggingen refererer til påloggingen som gjøres av brukeren på konsollen på datamaskinen, altså innloggingen som gjøres på det lokale tastaturet.
Innloggingstype 3: Nettverk
Når du får tilgang til en datamaskin fra et nettverk, er Windows i de fleste tilfeller merket som Type 3, oftest når du kobler til en delt mappe eller en delt skriver. I de fleste tilfeller registreres den også som denne typen når man logger inn på IIS via Internett, bortsett fra den grunnleggende autentiseringsmetoden IIS-innlogging, som vil bli registrert som type 8, og som vil bli beskrevet nedenfor.
Vellykket nettinnlogging:
Brukernavn:
Domener:
Innloggings-ID: (0x2,0xFC38EC05)
Påloggingstyper: 3
Innloggingsprosess: NtLmSsp
Autentiseringspakke: NTLM
Arbeidsstasjonsnavn: 098B11CAF05E4A0
Logg inn GUID:-
Innringers brukernavn: -
Kalle kvadrater: -
Innringerens innloggings-ID: -
Innringerprosess-ID: -
Leveringstjenester: -
Kilde nettverksadresse: 192.168.197.35
Kildeport: 0
Navn på anroperprosess: 16 %
Innloggingstype 4: Batch
Når Windows kjører en planlagt oppgave, vil Scheduled Task Service først opprette en ny innloggingsøkt for oppgaven slik at den kan kjøre under brukerkontoen som er konfigurert for denne planlagte oppgaven. Når denne innloggingen vises, registrerer Windows den som type 4 i loggen. For andre typer arbeidsoppgavesystemer, avhengig av designet, kan den også generere en type 4-innloggingshendelse når arbeidet startes, type 4-pålogging indikerer vanligvis at en planlagt oppgave starter, Det kan imidlertid også være en ondsinnet bruker som gjetter brukerpassordet gjennom en planlagt oppgave, noe som vil resultere i en type 4-innloggingsfeil, men denne mislykkede innloggingen kan også skyldes at brukerpassordet til den planlagte oppgaven ikke endres synkront, for eksempel at brukerpassordet endres og man glemmer å endre det i den planlagte oppgaven.
Innloggingstype 5: Tjeneste
På samme måte som planlagte oppgaver, er hver tjeneste konfigurert til å kjøre under en spesifikk brukerkonto, og når en tjeneste starter, oppretter Windows først en innloggingsøkt for denne spesifikke brukeren, som registreres som type 5, feilet type 5 indikerer vanligvis at brukerens passord har endret seg og ikke er oppdatert her, selvfølgelig kan dette også skyldes en ondsinnet brukers passordgjetning, men dette er mindre sannsynlig, Fordi opprettelse av en ny tjeneste eller redigering av en eksisterende tjeneste krever identiteten til administrator eller serversoperators som standard, er den ondsinnede brukeren av denne identiteten allerede kapabel nok til å gjøre sine dårlige gjerninger, og det er ikke nødvendig å gjette tjenestepassordet.
Du har logget inn på kontoen din.
Temaer:
Sikkerhets-ID: SYSTEM
Kontonavn: NAUTICAR-X200$
Kontodomene: WORKGROUP
Innloggings-ID: 0x3e7
Innloggingstype: 5
Nye pålogginger:
Sikkerhets-ID: SYSTEM
Kontonavn: SYSTEM
Kontodomene: NT AUTHORITY
Innloggings-ID: 0x3e7
Logg inn GUID:{00000000-0000-0000-0000-0000000000}
Prosessinformasjon:
Prosess-ID: 0x254
Prosessnavn: C:\Windows\System32\services.exe
Nettverksinformasjon:
Arbeidsstasjonens navn:
Kilde nettverksadresse: -
Kildeport: -
Detaljert autentiseringsinformasjon:
Innloggingsprosess: Advapi
Autentiseringspakke: Forhandle
Leveringstjenester: -
Pakkenavn (kun NTLM): -
Nøkkellengde: 0
Denne hendelsen genereres på den aktiverte datamaskinen etter at innloggingssesjonen er opprettet.
Emnefeltet indikerer kontoen i det lokale systemet som ber om innlogging. Dette er vanligvis en tjeneste (som en servertjeneste) eller en lokal prosess (som Winlogon.exe eller Services.exe).
Innloggingstype 7: Lås opp
Du kan ønske at den tilsvarende arbeidsstasjonen automatisk starter en passordbeskyttet skjermsparer når en bruker forlater datamaskinen, og når en bruker kommer tilbake for å låse opp, anser Windows denne opplåsingen som en Type 7-innlogging, og en mislykket Type 7-innlogging indikerer at noen har tastet inn feil passord eller at noen prøver å låse opp datamaskinen.
Innloggingstype 8: NetworkCleartext
Denne innloggingen indikerer at dette er en type 3 nettverkspålogging, men passordet for denne innloggingen overføres over nettverket via klartekst, og Windows Server-tjenesten tillater ikke klartekstautentisering for å koble til en delt mappe eller skriver, så vidt jeg vet er det kun når man logger inn fra et ASP-skript med Advapi eller en bruker som logger inn på IIS med grunnleggende autentisering. Advapi vil alle være listet i kolonnen Påloggingsprosess.
Vellykket nettinnlogging:
Brukernavn: IUSR_HP-8DFC7CA1B32C
Domene: HP-8DFC7CA1B32C
Innloggings-ID: (0x0,0x89F503)
Innloggingstype: 8
Innloggingsprosess: Advapi
Autentiseringspakke: Forhandle
Arbeidsstasjonens navn: HP-8DFC7CA1B32C
Logg inn GUID:-
Innringerbrukernavn: NETWORK SERVICE
Kalleautoritet: NT AUTHORITY
Innringer-ID: (0x0,0x3E4)
Innringerprosess-ID: 3656
Leveringstjenester: -
Kilde nettverksadresse: -
Kildeport: -
Navn på anroperprosess: 16 %
Innloggingstype 9: Nye legitimasjoner
Når du kjører et program med parameteren /netonly, kjører RUNAS det som den lokale nåværende innloggede brukeren, men hvis programmet må koble til andre datamaskiner i nettverket, vil det koble seg til brukeren som er spesifisert i RUNAS-kommandoen, og Windows vil registrere denne innloggingen som type 9. Hvis RUNAS-kommandoen ikke har parameteren /netonly, vil programmet kjøre som den angitte brukeren, men innloggingstypen i loggen er 2.
Innloggingstype 10: RemoteInteractive
Når du får tilgang til en datamaskin via Terminal Services, Remote Desktop eller Remote Assistance, vil Windows merke den som Type 10 for å skille den fra den ekte konsollinnloggingen, merk at denne innloggingstypen ikke ble støttet i versjoner før XP, for eksempel vil Windows 2000 fortsatt skrive Terminal Services Login som Type 2.
Innloggingstype 11: CachedInteractive
Windows støtter en funksjon kalt bufret innlogging, som er spesielt gunstig for mobilbrukere, for eksempel når du logger inn som domenebruker utenfor nettverket ditt og ikke kan logge inn på en domenekontroller, som som standard cacher Windows for de siste 10 interaktive domeneinnloggingene, og hvis du senere logger inn som domenebruker og ingen domenekontroller er tilgjengelig, vil Windows bruke disse hashene for å verifisere identiteten din.
Ovenstående beskriver innloggingstypen for Windows, men Windows 2000 registrerer ikke sikkerhetslogger som standard; du må først aktivere "Audit Login Events" under gruppepolicyen "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" for å se logginformasjonen ovenfor. Jeg håper at denne detaljerte journalinformasjonen vil hjelpe alle til å forstå systemsituasjonen bedre og opprettholde nettverksstabiliteten. |
Publisert på 14.11.2018 16:19:16
|
|
|
