Când verifici jurnalul de securitate Windows, găsești adesea valori diferite pentru tipul de autentificare. Sunt 2, 3, 5, 8, etc. Cele mai comune tipuri sunt 2 (interactiv) și 3 (web).
Valorile posibile ale tipurilor de autentificare sunt enumerate în detaliu mai jos
Autentificare Tip 2: Autentificare interactivă
Aceasta ar trebui să fie prima metodă de autentificare la care te gândești, așa-numitul autentificare interactivă se referă la autentificarea făcută de utilizator pe consola calculatorului, adică autentificarea făcută de pe tastatura locală.
Tip de autentificare 3: Rețea
Când accesezi un calculator dintr-o rețea, Windows este marcat ca Tip 3 în majoritatea cazurilor, cel mai adesea când te conectezi la un folder partajat sau la o imprimantă partajată. În majoritatea cazurilor, este înregistrat și ca acest tip la autentificarea în IIS prin Internet, cu excepția metodei de autentificare de bază a autentificării IIS, care va fi înregistrată ca tip 8, descris mai jos.
Logare web reușită:
Nume de utilizator:
Domenii:
ID de autentificare: (0x2,0xFC38EC05)
Tipuri de autentificare: 3
Procesul de autentificare: NtLmSsp
Pachet de autentificare: NTLM
Numele stației de lucru: 098B11CAF05E4A0
Autentificare GUID:-
Nume de utilizator apelant: -
Apeluri la pătrate: -
ID de autentificare apelant: -
ID-ul procesului apelantului: -
Servicii de livrare: -
Adresa sursă de rețea: 192.168.197.35
Portare sursă: 0
Numele procesului apelantului: %16
Tip de autentificare 4: Batch
Când Windows rulează o sarcină programată, Serviciul de Sarcini Programate va crea mai întâi o nouă sesiune de autentificare pentru sarcină, astfel încât să poată rula sub contul de utilizator configurat pentru această sarcină programată; când apare această autentificare, Windows o înregistrează ca tip 4 în jurnal, iar pentru alte tipuri de sisteme de sarcini de lucru, în funcție de design, poate genera și un eveniment de autentificare de tip 4 la pornirea muncii, autentificarea de tip 4 indică de obicei că începe o sarcină programată, Totuși, ar putea fi și un utilizator malițios care ghicește parola utilizatorului printr-o sarcină programată, ceea ce ar duce la un eveniment de eșec al autentificării de tip 4, dar această autentificare eșuată ar putea fi cauzată și de faptul că parola de utilizator a sarcinii programate nu este schimbată sincron, cum ar fi schimbarea parolei utilizatorului și uitarea de a o schimba în sarcina programată.
Tip de autentificare 5: Serviciu
Similar cu sarcinile programate, fiecare serviciu este configurat să ruleze sub un cont de utilizator specific, când un serviciu pornește, Windows creează mai întâi o sesiune de autentificare pentru acest utilizator specific, care va fi înregistrată ca tip 5, tipul 5 eșuat indică de obicei că parola utilizatorului s-a schimbat și nu a fost actualizată aici, desigur, acest lucru poate fi cauzat și de o presupunere a parolei unui utilizator malițios, dar acest lucru este mai puțin probabil, Pentru că crearea unui serviciu nou sau editarea unui serviciu existent necesită implicit identitatea administratorului sau a operatorilor de server, utilizatorul malițios al acestei identități este deja suficient de capabil să comită faptele rele și nu este nevoie să ghicească parola serviciului.
Te-ai conectat cu succes în contul tău.
Subiecte:
ID de securitate: SISTEM
Nume cont: NAUTICAR-X200$
Domeniul contului: WORKGROUP
ID de autentificare: 0x3e7
Tip de autentificare: 5
Noi autentificări:
ID de securitate: SISTEM
Nume cont: SYSTEM
Domeniul contului: NT AUTHORITY
ID de autentificare: 0x3e7
Conectare GUID:{000000000-0000-0000-0000-000000000}
Informații despre proces:
ID-ul procesului: 0x254
Nume proces: C:\Windows\System32\services.exe
Informații despre rețea:
Numele stației de lucru:
Adresa sursă a rețelei: -
Portarea sursă: -
Informații detaliate de autentificare:
Procesul de autentificare: Advapi
Pachet de autentificare: Negociere
Servicii de livrare: -
Numele pachetului (doar NTLM): -
Lungimea cheii: 0
Acest eveniment este generat pe calculatorul accesat după ce sesiunea de autentificare este creată.
Câmpul Subject indică contul din sistemul local care solicită să se conecteze. Acesta este de obicei un serviciu (cum ar fi un serviciu server) sau un proces local (cum ar fi Winlogon.exe sau Services.exe).
Autentificare Tip 7: Deblocare
Este posibil ca stația de lucru corespunzătoare să pornească automat un screensaver protejat de parolă atunci când un utilizator părăsește calculatorul, iar când utilizatorul revine să deblocheze, Windows consideră această operațiune de deblocare ca fiind un login Type 7, iar un login Type 7 eșuat indică faptul că cineva a introdus parola greșită sau cineva încearcă să deblocheze calculatorul.
Tip de autentificare 8: NetworkCleartext
Această autentificare indică faptul că este o autentificare de tip 3 în rețea, dar parola pentru această autentificare este transmisă prin rețea prin text clar, iar serviciul Windows Server nu permite autentificarea în text clar să se conecteze la un folder sau o imprimantă partajată, din câte știu, acest lucru se întâmplă doar atunci când se autentifică dintr-un script ASP folosind Advapi sau un utilizator care se autentifică în IIS folosind autentificarea de bază. Toate Advapi vor fi listate în coloana Proces de Logare.
Logare web reușită:
Nume de utilizator: IUSR_HP-8DFC7CA1B32C
Domeniu: HP-8DFC7CA1B32C
ID de autentificare: (0x0,0x89F503)
Tip de autentificare: 8
Procesul de autentificare: Advapi
Pachet de autentificare: Negociere
Nume stație de lucru: HP-8DFC7CA1B32C
Autentificare GUID:-
Nume de utilizator apelant: NETWORK SERVICE
Autoritatea de Apel: NT AUTHORITY
ID de autentificare apelant: (0x0,0x3E4)
ID-ul procesului apelantului: 3656
Servicii de livrare: -
Adresa sursă a rețelei: -
Portarea sursă: -
Numele procesului apelantului: %16
Tip de autentificare 9: Noi acreditări
Când rulezi un program cu parametrul /netonly, RUNAS îl rulează ca utilizatorul local conectat în prezent, dar dacă programul trebuie să se conecteze la alte calculatoare din rețea, se va conecta cu utilizatorul specificat în comanda RUNAS, iar Windows va înregistra acest autentificare ca tip 9; dacă comanda RUNAS nu are parametrul /netonly, atunci programul va rula ca utilizatorul specificat, dar tipul de autentificare în log este 2.
Tip de autentificare 10: RemoteInteractive
Când accesezi un calculator prin Terminal Services, Remote Desktop sau Remote Assistance, Windows îl va marca ca Tip 10 pentru a-l distinge de Console Login-ul real; rețineți că acest tip de autentificare nu a fost suportat în versiunile anterioare XP, de exemplu, Windows 2000 va scrie totuși Terminal Services Login ca Tip 2.
Tip de autentificare 11: CachedInteractive
Windows suportă o funcție numită autentificare în cache, care este deosebit de benefică pentru utilizatorii mobili, cum ar fi atunci când te loghezi ca utilizator de domeniu în afara rețelei tale și nu te poți conecta la un controler de domeniu, ceea ce implicit Windows stochează hash-urile de credențiale pentru ultimele 10 autentificări interactive de domeniu, iar dacă mai târziu te loghezi ca utilizator de domeniu și nu există niciun controler de domeniu disponibil, Windows va folosi aceste hash-uri pentru a-ți verifica identitatea.
Cele de mai sus descriu tipul de autentificare al Windows, dar Windows 2000 nu înregistrează jurnalele de securitate implicit, trebuie mai întâi să activați "Audit Login Events" din Politica de Grup "Configurare Calculator/Setări Windows/Setări de securitate/Politici locale/Politici de audit" pentru a vedea informațiile din jurnalul de mai sus. Sper ca aceste informații detaliate să ajute pe toată lumea să înțeleagă mai bine situația sistemului și să mențină stabilitatea rețelei. |
Postat pe 14.11.2018 16:19:16
|
|
|
