W logu bezpieczeństwa Windows często znajdujesz różne wartości typu logowania. Są 2, 3, 5, 8 itd. Najczęściej spotykane typy to 2 (interaktywne) i 3 (web).
Możliwe wartości typu logowania są szczegółowo opisane poniżej
Typ logowania 2: Interaktywne logowanie
To powinien być pierwszy sposób logowania, o którym pomyślisz – tzw. logowanie interaktywne odnosi się do logowania użytkownika na konsoli komputera, czyli logowania na lokalnej klawiaturze.
Typ logowania 3: Sieć
Gdy uzyskujesz dostęp do komputera z sieci, Windows jest w większości przypadków oznaczony jako typ 3, najczęściej podczas łączenia z folderem współdzielonym lub drukarką współdzieloną. W większości przypadków jest również rejestrowany jako ten typ podczas logowania do IIS przez Internet, z wyjątkiem podstawowej metody uwierzytelniania logowania IIS, która będzie rejestrowana jako typ 8, opisana poniżej.
Udane logowanie do internetu:
Nazwa użytkownika:
Domeny:
Identyfikator logowania: (0x2,0xFC38EC05)
Typy logowania: 3
Proces logowania: NtLmSsp
Pakiet uwierzytelniający: NTLM
Nazwa stacji roboczej: 098B11CAF05E4A0
Login GUID:-
Nazwa użytkownika dzwoniącego: -
Calling squares: -
Identyfikator logowania dzwoniącego: -
Identyfikator procesu dzwoniącego: -
Usługi dostawcze: -
Adres sieci źródłowy: 192.168.197.35
Źródłowy port: 0
Nazwa procesu dzwoniącego: %16
Typ logowania 4: Wsad
Gdy Windows uruchamia zaplanowane zadanie, Scheduled Task Service najpierw tworzy nową sesję logowania dla zadania, aby mogło ono działać na koncie użytkownika skonfigurowanym dla tego zadania; gdy pojawi się to logowanie, Windows rejestruje je jako typ 4 w dzienniku, dla innych typów systemów zadań roboczych, w zależności od projektu, może również wygenerować zdarzenie logowania typu 4 przy rozpoczęciu pracy, logowanie typu 4 zwykle oznacza, że zaplanowane zadanie się rozpoczyna, Jednak może to być także złośliwy użytkownik, który zgaduje hasło użytkownika w zaplanowanym zadaniu, co skutkuje zdarzeniem niepowodzenia logowania typu 4, ale to nieudane logowanie może być również spowodowane tym, że hasło użytkownika zaplanowanego zadania nie zostało zmienione synchronicznie, na przykład przez zmianę hasła użytkownika i zapomnienie jego zmiany w zaplanowanym zadaniu.
Typ logowania 5: Usługa
Podobnie jak zadania zaplanowane, każda usługa jest skonfigurowana do działania pod określonym kontem użytkownika; gdy usługa się uruchamia, Windows najpierw tworzy sesję logowania dla tego konkretnego użytkownika, która zostanie zarejestrowana jako typ 5, a nieudane typ 5 zwykle oznacza, że hasło użytkownika się zmieniło i nie zostało zaktualizowane, oczywiście może to być spowodowane zgadnięciem hasła przez złośliwego użytkownika, ale jest to mniej prawdopodobne, Ponieważ utworzenie nowej usługi lub edycja istniejącej usługi wymaga domyślnie tożsamości administratora lub serwersoperatorów, złośliwy użytkownik tej tożsamości jest już wystarczająco zdolny, by popełniać swoje błędy i nie ma potrzeby zgadywać hasła do usługi.
Udało Ci się pomyślnie zalogować na swoje konto.
Tematy:
ID bezpieczeństwa: SYSTEM
Nazwa konta: NAUTICAR-X200$
Domena konta: GRUPA ROBOCZA
Identyfikator logowania: 0x3e7
Typ logowania: 5
Nowe logowania:
ID bezpieczeństwa: SYSTEM
Nazwa konta: SYSTEM
Domena konta: WŁADZA NT
Identyfikator logowania: 0x3e7
Login GUID:{0000000-0000-0000-0000-000000000000}
Informacje o procesie:
ID procesu: 0x254
Nazwa procesu: C:\Windows\System32\services.exe
Informacje o sieci:
Nazwa stacji roboczej:
Adres sieci źródłowej: -
Źródłowy port: -
Szczegółowe informacje o uwierzytelnianiu:
Proces logowania: Advapi
Pakiet uwierzytelniający: Negocjuj
Usługi dostawcze: -
Nazwa pakietu (tylko NTLM): -
Długość klucza: 0
To zdarzenie jest generowane na komputerze, do którego się uruchomił, po utworzeniu sesji logowania.
Pole Subject wskazuje konto w lokalnym systemie, które prosi o zalogowanie. Zazwyczaj jest to usługa (np. usługa serwerowa) lub proces lokalny (np. Winlogon.exe lub Services.exe).
Typ logowania 7: Odblokowanie
Możesz chcieć, aby odpowiadająca stacja automatycznie uruchamiała hasłem wygaszacz ekranu, gdy użytkownik opuszcza komputer, a gdy użytkownik wraca, by odblokować, Windows uznaje tę operację za logowanie typu 7, a nieudane logowanie typu 7 oznacza, że ktoś wpisał błędne hasło lub próbuje odblokować komputer.
Typ logowania 8: NetworkCleartext
To logowanie wskazuje, że jest to logowanie sieciowe typu 3, ale hasło do tego logowania jest przesyłane przez sieć za pomocą tekstu jawnego, a usługa Windows Server nie pozwala na uwierzytelnianie tekstem jawnym do wspólnego folderu lub drukarki, o ile mi wiadomo, dotyczy to tylko logowania się przez skrypt ASP za pomocą Advapi lub użytkownika logującego się do IIS za pomocą podstawowej uwierzytelniania. Advapi będzie wymienione w kolumnie Proces logowania.
Udane logowanie do internetu:
Nazwa użytkownika: IUSR_HP-8DFC7CA1B32C
Domena: HP-8DFC7CA1B32C
Identyfikator logowania: (0x0,0x89F503)
Typ logowania: 8
Proces logowania: Advapi
Pakiet uwierzytelniający: Negocjuj
Nazwa stacji roboczej: HP-8DFC7CA1B32C
Login GUID:-
Nazwa użytkownika dzwoniącego: USŁUGA SIECIOWA
Władza wzywająca: WŁADZA NT
Numer logowania dzwoniącego: (0x0,0x3E4)
Numer procesu dzwoniącego: 3656
Usługi dostawcze: -
Adres sieci źródłowej: -
Źródłowy port: -
Nazwa procesu dzwoniącego: %16
Typ logowania 9: Nowe dane uwierzytelniające
Gdy uruchamiasz program z parametrem /netonly, RUNAS uruchamia go jako lokalny, aktualnie zalogowany użytkownik, ale jeśli program musi połączyć się z innymi komputerami w sieci, połączy się z użytkownikiem wskazanym w poleceniu RUNAS, a Windows zapisze to logowanie jako typ 9; jeśli polecenie RUNAS nie ma parametru /netonly, program uruchomi się jako wskazany użytkownik, ale typ logowania w logu to 2.
Typ logowania 10: RemoteInteractive
Gdy uzyskujesz dostęp do komputera przez Terminal Services, Remote Desktop lub Remote Assistance, Windows oznaczy go jako Type 10, aby odróżnić go od prawdziwego logowania konsolowego, zwróć uwagę, że ten typ logowania nie był obsługiwany w wersjach sprzed XP, na przykład Windows 2000 nadal zapisuje logowanie Terminal Services jako Type 2.
Typ logowania 11: CachedInteractive
Windows obsługuje funkcję zwaną logowaniem buforowanym, która jest szczególnie korzystna dla użytkowników mobilnych, na przykład gdy logujesz się jako użytkownik domeny spoza sieci i nie możesz zalogować się do kontrolera domeny, który domyślnie buforuje hashe danych poświadczenia dla ostatnich 10 interaktywnych logowań domenowych, a jeśli później zalogujesz się jako użytkownik domeny i nie ma dostępnego kontrolera domeny, Windows użyje tych hashów do weryfikacji tożsamości.
Powyższe opisuje typ logowania Windows, ale Windows 2000 domyślnie nie rejestruje logów bezpieczeństwa; najpierw należy włączyć "Audit Login Events" w ramach Polityki Grupy "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies", aby zobaczyć powyższe informacje o logach. Mam nadzieję, że te szczegółowe informacje o zapisie pomogą wszystkim lepiej zrozumieć sytuację systemu i utrzymać stabilność sieci. |
Opublikowano 14.11.2018 16:19:16
|
|
|
