In het Windows-beveiligingslogboek vind je vaak verschillende waarden voor het inlogtype. Er zijn er 2, 3, 5, 8, enzovoort. De meest voorkomende types zijn 2 (interactief) en 3 (web).
De mogelijke inlogtypewaarden worden hieronder in detail vermeld
Inlogtype 2: Interactieve Login
Dit zou de eerste inlogmethode moeten zijn waar je aan denkt; de zogenaamde interactieve login verwijst naar de login die de gebruiker op de console van de computer doet, dat wil zeggen de login die op het lokale toetsenbord wordt gedaan.
Inlogtype 3: Netwerk
Wanneer je een computer vanuit een netwerk benadert, wordt Windows in de meeste gevallen als Type 3 gemarkeerd, meestal wanneer je verbinding maakt met een gedeelde map of een gedeelde printer. In de meeste gevallen wordt het ook als dit type geregistreerd bij het inloggen bij IIS via het internet, behalve bij de basisauthenticatiemethode van IIS-login, die wordt geregistreerd als type 8, wat hieronder wordt beschreven.
Succesvolle weblogin:
Gebruikersnaam:
Domeinen:
Login-ID: (0x2,0xFC38EC05)
Inlogtypen: 3
Inlogproces: NtLmSsp
Authenticatiepakket: NTLM
Naam van de werkstation: 098B11CAF05E4A0
Log in GUID:-
Gebruikersnaam Beller: -
Vierkanten roepen: -
Inlog-ID van de beller: -
Bellerproces-ID: -
Bezorgdiensten: -
Bronnetwerkadres: 192.168.197.35
Bronpoort: 0
Naam van het bellerproces: %16
Inlogtype 4: Batch
Wanneer Windows een geplande taak uitvoert, zal de Scheduled Task Service eerst een nieuwe inlogsessie voor de taak aanmaken zodat deze kan draaien onder het gebruikersaccount dat voor deze geplande taak is geconfigureerd. Wanneer deze login verschijnt, registreert Windows deze als type 4 in het logboek, voor andere soorten werktakensystemen, afhankelijk van het ontwerp, kan het ook een type 4 logingebeurtenis genereren bij het starten van het werk, type 4 login geeft meestal aan dat een geplande taak start, Het kan echter ook een kwaadaardige gebruiker zijn die het gebruikerswachtwoord raadt via een geplande taak, wat zou resulteren in een type 4 inlogfout, maar deze mislukte login kan ook veroorzaakt worden doordat het gebruikerswachtwoord van de geplande taak niet synchroon wordt gewijzigd, zoals het gebruikerswachtwoord dat wordt gewijzigd en vergeet dit te wijzigen in de geplande taak.
Inlogtype 5: Service
Net als bij geplande taken is elke dienst geconfigureerd om onder een specifiek gebruikersaccount te draaien; wanneer een dienst start, maakt Windows eerst een inlogsessie aan voor deze specifieke gebruiker, die wordt geregistreerd als type 5, mislukte type 5 geeft meestal aan dat het wachtwoord van de gebruiker is gewijzigd en hier niet is bijgewerkt; natuurlijk kan dit ook veroorzaakt worden door een gok van een kwaadaardige gebruiker met een wachtwoord, maar dit is minder waarschijnlijk. Omdat het aanmaken van een nieuwe dienst of het bewerken van een bestaande dienst standaard de identiteit van administrator of serversoperators vereist, is de kwaadaardige gebruiker van deze identiteit al capabel genoeg om zijn slechte daden te verrichten, en hoeft het wachtwoord van de dienst niet te raden.
Je bent succesvol ingelogd op je account.
Onderwerpen:
Beveiligings-ID: SYSTEEM
Rekeningnaam: NAUTICAR-X200$
Accountdomein: WORKGROUP
Login-ID: 0x3e7
Inlogtype: 5
Nieuwe logins:
Beveiligings-ID: SYSTEEM
Accountnaam: SYSTEEM
Accountdomein: NT AUTHORITY
Login-ID: 0x3e7
Log in GUID:{000000000-0000-0000-0000-00000000000}
Procesinformatie:
Proces-ID: 0x254
Procesnaam: C:\Windows\System32\services.exe
Netwerkinformatie:
Naam van de werkstation:
Bronnetwerkadres: -
Bronport: -
Gedetailleerde authenticatie-informatie:
Inlogproces: Advapi
Authenticatiepakket: Onderhandelen
Bezorgdiensten: -
Pakketnaam (alleen NTLM): -
Sleutellengte: 0
Dit event wordt gegenereerd op de geraadpleegde computer nadat de inlogsessie is aangemaakt.
Het Subject-veld geeft het account aan op het lokale systeem dat om inloggen vraagt. Dit is meestal een service (zoals een serverservice) of een lokaal proces (zoals Winlogon.exe of Services.exe).
Inlogtype 7: Ontgrendelen
Je wilt misschien dat het bijbehorende werkstation automatisch een met wachtwoord beveiligde screensaver start wanneer een gebruiker zijn computer verlaat, en wanneer een gebruiker terugkomt om te ontgrendelen, beschouwt Windows deze ontgrendelingsoperatie als een Type 7-login, en een mislukte Type 7-login betekent dat iemand het verkeerde wachtwoord heeft ingevoerd of dat iemand probeert de computer te ontgrendelen.
Inlogtype 8: NetworkCleartext
Deze login geeft aan dat dit een type 3 netwerklogin is, maar het wachtwoord voor deze login wordt via platte tekst over het netwerk verzonden, en de Windows Server-service staat geen platte tekstauthenticatie toe om verbinding te maken met een gedeelde map of printer; voor zover ik weet is dat alleen het geval wanneer je inlogt vanuit een ASP-script met Advapi of een gebruiker die inlogt bij IIS via basisauthenticatie. Advapi worden allemaal vermeld in de kolom Inlogproces.
Succesvolle weblogin:
Gebruikersnaam: IUSR_HP-8DFC7CA1B32C
Domein: HP-8DFC7CA1B32C
Login-ID: (0x0,0x89F503)
Inlogtype: 8
Inlogproces: Advapi
Authenticatiepakket: Onderhandelen
Werkstationnaam: HP-8DFC7CA1B32C
Log in GUID:-
Gebruikersnaam van de beller: NETWORK SERVICE
Roepautoriteit: NT AUTHORITY
Inlog-ID van de beller: (0x0,0x3E4)
Beller-ID: 3656
Bezorgdiensten: -
Bronnetwerkadres: -
Bronport: -
Naam van het bellerproces: %16
Inlogtype 9: Nieuwe inloggegevens
Wanneer je een programma uitvoert met de /netonly-parameter, voert RUNAS het uit als de lokaal huidige ingelogde gebruiker, maar als het programma verbinding moet maken met andere computers in het netwerk, zal het verbinding maken met de gebruiker die in het RUNAS-commando is gespecificeerd, en Windows registreert deze login als type 9; als het RUNAS-commando niet de /netonly-parameter heeft, draait het programma als de opgegeven gebruiker, maar het logintype in het logboek is 2.
Logintype 10: RemoteInteractive
Wanneer je een computer opent via Terminal Services, Remote Desktop of Remote Assistance, zal Windows deze markeren als Type 10 om hem te onderscheiden van de echte Console Login; let op dat dit inlogtype niet werd ondersteund in versies vóór XP, bijvoorbeeld, Windows 2000 schrijft Terminal Services Login nog steeds als Type 2.
Inlogtype 11: CachedInteractief
Windows ondersteunt een functie genaamd gecachte login, wat vooral nuttig is voor mobiele gebruikers, bijvoorbeeld wanneer je als domeingebruiker buiten je netwerk kunt inloggen en niet kunt inloggen op een domeincontroller, die standaard de inloggegevenshashes van de laatste 10 interactieve domeininlogs cachet, en als je later inlogt als domeingebruiker en er geen domeincontroller beschikbaar is, gebruikt Windows deze hashes om je identiteit te verifiëren.
Bovenstaande beschrijft het inlogtype van Windows, maar Windows 2000 registreert standaard geen beveiligingslogs; je moet eerst de "Audit Login Events" inschakelen onder het groepsbeleid "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" om bovenstaande loggegevens te zien. Ik hoop dat deze gedetailleerde gegevens iedereen helpen de systeemsituatie beter te begrijpen en de netwerkstabiliteit te behouden. |
Geplaatst op 14-11-2018 16:19:16
|
|
|
