Ao fazer log de segurança do Windows, você frequentemente encontra valores diferentes para o tipo de login. Existem 2, 3, 5, 8, etc. Os tipos mais comuns são 2 (interativo) e 3 (web).
Os possíveis valores de tipo de login estão listados em detalhes abaixo
Tipo de Login 2: Login Interativo
Esse deve ser o primeiro método de login que você pensa; o chamado login interativo refere-se ao login feito pelo usuário no console do computador, ou seja, o login feito no teclado local.
Tipo de Login 3: Rede
Quando você acessa um computador a partir de uma rede, o Windows é marcado como Tipo 3 na maioria dos casos, geralmente ao se conectar a uma pasta compartilhada ou a uma impressora compartilhada. Na maioria dos casos, ele também é registrado como esse tipo ao fazer login no IIS pela Internet, exceto pelo método básico de autenticação do login do IIS, que será registrado como tipo 8, descrito abaixo.
Login bem-sucedido:
Nome de usuário:
Domínios:
ID de Login: (0x2.0xFC38EC05)
Tipos de Login: 3
Processo de login: NtLmSsp
Pacote de autenticação: NTLM
Nome da Estação de Trabalho: 098B11CAF05E4A0
Guid de login:-
Nome de usuário do chamador: -
Chamando Quadrados: -
ID de Login da Chamada: -
ID do Processo de Chamada: -
Serviços de Entrega: -
Endereço de rede de origem: 192.168.197.35
Fonte Porta: 0
Nome do processo do chamador: %16
Tipo de Login 4: Batch
Quando o Windows executa uma tarefa agendada, o Serviço de Tarefas Agendadas primeiro cria uma nova sessão de login para a tarefa para que ela possa rodar sob a conta de usuário configurada para essa tarefa agendada; quando esse login aparece, o Windows a registra como tipo 4 no log; para outros tipos de sistemas de tarefas de trabalho, dependendo do seu design, também pode gerar um evento de login tipo 4 ao iniciar o trabalho, o login tipo 4 geralmente indica que uma tarefa agendada começa, No entanto, também pode ser um usuário malicioso tentando adivinhar a senha do usuário por meio de uma tarefa agendada, o que resultaria em um evento de falha de login tipo 4, mas essa falha no login também pode ser causada pela não alteração sincrona da senha do usuário, como a mudança da senha do usuário e a esqueça de alterá-la na tarefa agendada.
Tipo de Login 5: Serviço
Semelhante às tarefas agendadas, cada serviço é configurado para rodar sob uma conta de usuário específica; quando um serviço começa, o Windows primeiro cria uma sessão de login para esse usuário específico, que será registrada como tipo 5; o tipo 5 falhado geralmente indica que a senha do usuário mudou e não foi atualizada aqui, claro, isso também pode ser causado por um palpite de senha malicioso, mas isso é menos provável. Como criar um novo serviço ou editar um serviço existente requer a identidade do administrador ou operadores de servidor por padrão, o usuário malicioso dessa identidade já é capaz de cometer seus erros, e não há necessidade de adivinhar a senha do serviço.
Você fez login com sucesso na sua conta.
Tópicos:
ID de Segurança: SYSTEM
Nome da Conta: NAUTICAR-X200$
Domínio da conta: WORKGROUP
ID de login: 0x3e7
Tipo de Login: 5
Novos logins:
ID de Segurança: SYSTEM
Nome da Conta: SYSTEM
Domínio da Conta: NT AUTHORITY
ID de login: 0x3e7
Loginar GUID:{00000000-0000-0000-0000-000000000}
Informações sobre o processo:
ID do processo: 0x254
Nome do processo: C:\Windows\System32\services.exe
Informações da rede:
Nome da Estação de Trabalho:
Endereço da Rede de Origem: -
Porta Fonte: -
Informações detalhadas de autenticação:
Processo de login: Advapi
Pacote de autenticação: Negociar
Serviços de Entrega: -
Nome do Pacote (apenas NTLM): -
Comprimento da chave: 0
Esse evento é gerado no computador acessado após a criação da sessão de login.
O campo Assunto indica a conta no sistema local que solicita o login. Normalmente, isso é um serviço (como um serviço de servidor) ou um processo local (como Winlogon.exe ou Services.exe).
Tipo de Login 7: Desbloquear
Você pode querer que a estação de trabalho correspondente inicie automaticamente um protetor de tela protegido por senha quando um usuário sai do computador, e quando o usuário volta para desbloquear, o Windows considera essa operação de desbloqueio como um login Tipo 7, e um login Tipo 7 falhado indica que alguém digitou a senha errada ou alguém está tentando desbloquear o computador.
Tipo de Login 8: RedeTexto Claro
Esse login indica que este é um login de rede tipo 3, mas a senha desse login é transmitida pela rede via texto simples, e o serviço do Windows Server não permite que a autenticação em texto simples se conecte a uma pasta ou impressora compartilhada; pelo que sei, isso acontece apenas ao fazer login por um script ASP usando Advapi ou um usuário fazendo login no IIS usando autenticação básica. O Advapi estará listado na coluna Processo de Login.
Login bem-sucedido:
Nome de usuário: IUSR_HP-8DFC7CA1B32C
Domínio: HP-8DFC7CA1B32C
ID de login: (0x0,0x89F503)
Tipo de Login: 8
Processo de login: Advapi
Pacote de autenticação: Negociar
Nome da Estação de Trabalho: HP-8DFC7CA1B32C
Guid de login:-
Nome de usuário do chamador: NETWORK SERVICE
Autoridade de Chamada: AUTORIDADE NT
ID de Login da Chamada: (0x0.0x3E4)
ID do processo da chamada: 3656
Serviços de Entrega: -
Endereço da Rede de Origem: -
Porta Fonte: -
Nome do processo do chamador: %16
Tipo de Login 9: Novas Credenciais
Quando você executa um programa com o parâmetro /netonly, o RUNAS o executa como o usuário local logado atualmente, mas se o programa precisar se conectar a outros computadores na rede, ele se conectará com o usuário especificado no comando RUNAS, e o Windows registrará esse login como tipo 9; se o comando RUNAS não tiver o parâmetro /netonly, o programa executará como o usuário especificado, mas o tipo de login no log é 2.
Tipo de Login 10: RemoteInteractive
Quando você acessa um computador via Serviços de Terminal, Área de Trabalho Remota ou Assistência Remota, o Windows o marca como Tipo 10 para distingui-lo do login real do console; observe que esse tipo de login não era suportado em versões anteriores ao XP, por exemplo, o Windows 2000 ainda escreve o login de Serviços de Terminal como Tipo 2.
Tipo de Login 11: CachedInteractive
O Windows suporta um recurso chamado login em cache, que é especialmente benéfico para usuários móveis, como quando você faz login como usuário de domínio fora da sua rede e não pode acessar um controlador de domínio, que por padrão o Windows armazena em cache hashes de credenciais para os últimos 10 logins interativos de domínio, e se depois você fizer login como usuário de domínio e não houver controlador de domínio disponível, o Windows usará esses hashes para verificar sua identidade.
O que foi dito acima descreve o tipo de login do Windows, mas o Windows 2000 não registra logs de segurança por padrão; você deve primeiro ativar os "Eventos de Login de Auditoria" na Estratégia de Grupo "Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas Locais/Políticas de Auditoria" para ver as informações do log acima. Espero que essas informações detalhadas de registro ajudem todos a compreender melhor a situação do sistema e a manter a estabilidade da rede. |
Publicado em 14/11/2018 16:19:16
|
|
|
