В журнале безопасности Windows часто встречаются разные значения для типа входа. Их 2, 3, 5, 8 и так далее. Самые распространённые типы — 2 (интерактивный) и 3 (веб).
Возможные значения типов входа приведены ниже подробно
Тип входа 2: Интерактивный вход
Это должен быть первый способ входа, который вы придумали — так называемый интерактивный логин — это логин, сделанный пользователем на консоли компьютера, то есть вход на локальной клавиатуре.
Тип входа 3: Сеть
Когда вы заходите на компьютер через сеть, Windows в большинстве случаев отмечается как Тип 3, чаще всего при подключении к общей папке или к общему принтеру. В большинстве случаев он также записывается как этот тип при входе в IIS через Интернет, за исключением базового метода аутентификации входа в IIS, который будет записан как тип 8 и будет описан ниже.
Успешный вход в веб-сайт:
Имя пользователя:
Домены:
Идентификатор входа: (0x2,0xFC38EC05)
Типы входов: 3
Процесс входа: NtLmSsp
Пакет аутентификации: NTLM
Название рабочей станции: 098B11CAF05E4A0
Вход в GUID:-
Имя пользователя звонящего: -
Вызов квадратов: -
Идентификатор входа для абонента: -
Идентификатор процесса звонящего: -
Услуги доставки: -
Адрес исходной сети: 192.168.197.35
Исходный порт: 0
Название процесса звонящего: %16
Тип входа 4: Пакет
Когда Windows запускает запланированную задачу, служба запланированных задач сначала создаёт новую сессию входа для задачи, чтобы она могла запускаться под пользовательской учётной записью, настроенной для этой запланированной задачи. Когда этот логин появляется, Windows записывает его как тип 4 в журнале. Для других типов систем рабочих задач, в зависимости от конструкции, при начале работы он также может генерировать событие входа типа 4, обычно указывает на начало запланированной задачи, Однако это также может быть злоумышленный пользователь угадать пароль через запланированную задачу, что приведёт к сбою входа типа 4, но этот неудачный вход может быть вызван тем, что пароль запланированной задачи не меняется синхронно, например, пароль пользователя был изменён и забыл изменить его в запланированной задаче.
Тип входа 5: Сервис
Подобно запланированным задачам, каждый сервис настроен на работу под определённой учётной записью пользователя, при запуске сервиса Windows сначала создаёт сессию входа для этого пользователя, которая будет записана как тип 5. Неудачный тип 5 обычно означает, что пароль пользователя изменился и не обновлялся здесь. Конечно, это также может быть вызвано догадкой пароля вредоносного пользователя, но это менее вероятно, Поскольку создание нового сервиса или редактирование существующего сервиса по умолчанию требует идентификации администратора или serversoperators, злоумышленник этой идентичности уже достаточно способен совершать плохие поступки, и нет необходимости угадывать пароль сервиса.
Вы успешно вошли в свой аккаунт.
Темы:
Security ID: SYSTEM
Имя аккаунта: NAUTICAR-X200$
Домен учетной записи: WORKGROUP
Идентификатор входа: 0x3e7
Тип входа: 5
Новые логины:
Security ID: SYSTEM
Название аккаунта: SYSTEM
Домен аккаунта: NT AUTHORITY
Идентификатор входа: 0x3e7
Вход GUID:{00000000-0000-0000-00000-000000000}
Информация о процессе:
Идентификатор процесса: 0x254
Название процесса: C:\Windows\System32\services.exe
Информация о сети:
Название рабочей станции:
Адрес исходной сети: -
Исходный порт: -
Подробная информация об аутентификации:
Процесс входа: Advapi
Пакет аутентификации: Согласование
Услуги доставки: -
Название пакета (только для NTLM): -
Длина ключа: 0
Это событие генерируется на полученном компьютере после создания сессии входа.
Поле Subject указывает на аккаунт в локальной системе, который запрашивает войти. Обычно это сервис (например, сервер) или локальный процесс (например, Winlogon.exe или Services.exe).
Тип входа 7: Разблокировка
Возможно, вам нужно, чтобы соответствующая рабочая станция автоматически запускала защищённый паролем заставку при выходе пользователя из компьютера, а когда пользователь возвращается для разблокировки, Windows считает эту операцию Type 7 входом, а неудачный вход Type 7 означает, что кто-то ввёл неправильный пароль или пытается разблокировать компьютер.
Тип входа 8: NetworkCleartext
Этот логин указывает, что это сетевой логин типа 3, но пароль для этого входа передаётся по сети через открытый текст, а сервис Windows Server не позволяет подключаться к общим папкам или принтеру с открытым текстом, насколько я знаю, это происходит только при входе через ASP-скрипт с Advapi или при входе пользователя в IIS с помощью базовой аутентификации. Все Advapi будут указаны в колонке «Процесс входа».
Успешный вход в веб-сайт:
Имя пользователя: IUSR_HP-8DFC7CA1B32C
Домен: HP-8DFC7CA1B32C
Идентификатор входа: (0x0,0x89F503)
Тип входа: 8
Процесс входа: Advapi
Пакет аутентификации: Согласование
Название рабочей станции: HP-8DFC7CA1B32C
Вход в GUID:-
Имя пользователя звонящего: NETWORK SERVICE
Вызывающий авторитет: NT AUTHORITY
Идентификатор входа для абонента: (0x0,0x3E4)
Идентификатор процесса звонящего: 3656
Услуги доставки: -
Адрес исходной сети: -
Исходный порт: -
Название процесса звонящего: %16
Тип входа 9: Новые учетные данные
Когда вы запускаете программу с параметром /netonly, RUNAS запускает её как локальный текущий зарегистрированный пользователь, но если программе нужно подключиться к другим компьютерам в сети, она подключается к пользователю, указанному в команде RUNAS, и Windows запишет этот логин как тип 9; если в команде RUNAS нет параметра /netonly, программа будет выполняться как указанный пользователь, но тип входа в журнале — 2.
Тип входа 10: RemoteInteractive
При доступе к компьютеру через Terminal Services, Remote Desktop или Remote Assistance, Windows пометит его как Type 10, чтобы отличить от настоящего Console Login; обратите внимание, что этот тип входа не поддерживался в версиях до XP, например, Windows 2000 всё равно будет записывать Terminal Services Login как Type 2.
Тип входа 11: CachedInteractive
Windows поддерживает функцию кэшированного входа, которая особенно полезна для мобильных пользователей, например, когда вы входите как пользователь домена вне своей сети и не можете войти в контроллер домена, который по умолчанию кэширует хеши учетных данных для последних 10 интерактивных доменных входов, и если позже вы входите как пользователь домена, а контроллер домена недоступен, Windows использует эти хэши для подтверждения вашей личности.
Выше описан тип входа в Windows, но Windows 2000 по умолчанию не фиксирует журналы безопасности, поэтому сначала необходимо включить «События аудита входа» в групповой политике «Конфигурация компьютера/Настройки Windows/Настройки безопасности/Локальные политики/Политики аудита», чтобы увидеть вышеуказанную информацию журнала. Надеюсь, что эта подробная информация поможет всем лучше понять ситуацию с системой и сохранить стабильность сети. |
Опубликовано 14.11.2018 16:19:16
|
|
|
