Keď prechádzate bezpečnostný log Windows, často nájdete rôzne hodnoty typu prihlásenia. Sú ich 2, 3, 5, 8 a podobne. Najbežnejšie typy sú 2 (interaktívne) a 3 (web).
Možné hodnoty typu prihlásenia sú podrobne uvedené nižšie
Typ prihlásenia 2: Interaktívne prihlásenie
Toto by mala byť prvá metóda prihlásenia, na ktorú si spomeniete – takzvané interaktívne prihlásenie označuje prihlásenie používateľa na konzole počítača, teda prihlásenie vykonané na lokálnej klávesnici.
Typ prihlásenia 3: Sieť
Keď pristupujete k počítaču zo siete, Windows je vo väčšine prípadov označený ako typ 3, najčastejšie pri pripojení do zdieľaného priečinka alebo zdieľanej tlačiarne. Vo väčšine prípadov sa tento typ zaznamenáva aj pri prihlásení do IIS cez internet, s výnimkou základnej autentifikačnej metódy IIS prihlásenia, ktorá bude zaznamenaná ako typ 8, čo bude popísané nižšie.
Úspešné prihlásenie na web:
Používateľské meno:
Domény:
Prihlasovacie ID: (0x2,0xFC38EC05)
Typy prihlásenia: 3
Proces prihlásenia: NtLmSsp
Autentifikačný paket: NTLM
Názov pracovnej stanice: 098B11CAF05E4A0
Login GUID:-
Používateľské meno volajúceho: -
Volanie štvorcov: -
Prihlasovacie ID volajúceho: -
ID procesu volajúceho: -
Doručovacie služby: -
Adresa zdrojovej siete: 192.168.197.35
Zdrojový port: 0
Názov procesu volajúceho: %16
Typ prihlásenia 4: Batch
Keď Windows spustí plánovanú úlohu, Scheduled Task Service najskôr vytvorí novú prihlasovaciu reláciu pre úlohu, aby mohla bežať pod používateľským účtom nastaveným pre túto plánovanú úlohu, keď sa toto prihlásenie objaví, Windows ho zaznamená ako typ 4 v logu, pre iné typy systémov pracovných úloh, v závislosti od jeho dizajnu, môže tiež vygenerovať prihlasovaciu udalosť typu 4 pri začatí práce, typ 4 zvyčajne znamená, že plánovaná úloha začína, Môže to však byť aj škodlivý používateľ, ktorý uhádne používateľské heslo cez naplánovanú úlohu, čo by viedlo k zlyhaniu prihlásenia typu 4, ale toto zlyhanie prihlásenia mohlo byť spôsobené aj tým, že používateľské heslo plánovanej úlohy nebolo synchronizovane zmenené, napríklad keď sa heslo zmenilo a zabudol ho zmeniť v plánovanej úlohe.
Typ prihlásenia 5: Služba
Podobne ako pri plánovaných úlohách, každá služba je nakonfigurovaná tak, aby bežala pod konkrétnym používateľským účtom, keď sa služba spustí, Windows najskôr vytvorí prihlasovaciu reláciu pre tohto konkrétneho používateľa, ktorá sa zaznamená ako typ 5, zlyhaný typ 5 zvyčajne znamená, že heslo používateľa sa zmenilo a nebolo tu aktualizované, samozrejme, môže to byť spôsobené aj uhádnutím hesla škodlivého používateľa, ale to je menej pravdepodobné. Keďže vytvorenie novej služby alebo úprava existujúcej služby vyžaduje predvolenú identitu administrátora alebo serversoperatorov, škodlivý používateľ tejto identity je už dostatočne schopný na to, aby vykonal svoje zlé skutky, a nie je potrebné hádať heslo služby.
Úspešne ste sa prihlásili do svojho účtu.
Témy:
Bezpečnostné ID: SYSTÉM
Názov účtu: NAUTICAR-X200$
Doména účtu: PRACOVNÁ SKUPINA
Prihlasovacie ID: 0x3e7
Typ prihlásenia: 5
Nové prihlasovacie údaje:
Bezpečnostné ID: SYSTÉM
Názov účtu: SYSTEM
Doména účtu: NT AUTHORITY
Prihlasovacie ID: 0x3e7
Login GUID:{0000000-0000-0000-0000-00000000000}
Informácie o procese:
ID procesu: 0x254
Názov procesu: C:\Windows\System32\services.exe
Informácie o sieti:
Názov pracovnej stanice:
Adresa zdrojovej siete: -
Zdrojový port: -
Podrobné autentifikačné informácie:
Proces prihlásenia: Advapi
Autentifikačný paket: Vyjednávanie
Doručovacie služby: -
Názov paketu (iba NTLM): -
Dĺžka kľúča: 0
Táto udalosť sa generuje na prístupnom počítači po vytvorení prihlasovacej relácie.
Pole Predmet označuje účet v lokálnom systéme, ktorý žiada o prihlásenie. Zvyčajne ide o službu (napríklad serverovú službu) alebo lokálny proces (napríklad Winlogon.exe alebo Services.exe).
Typ prihlásenia 7: Odomknúť
Možno budete chcieť, aby zodpovedajúca pracovná stanica automaticky spustila heslom chránený šetrič obrazovky, keď používateľ opustí počítač, a keď sa používateľ vráti odomknúť, Windows považuje túto operáciu za prihlasovanie typu 7, pričom neúspešné prihlásenie typu 7 znamená, že niekto zadal nesprávne heslo alebo sa niekto snaží odomknúť počítač.
Typ prihlásenia 8: NetworkCleartext
Toto prihlásenie naznačuje, že ide o sieťové prihlásenie typu 3, ale heslo k tomuto prihláseniu sa prenáša cez sieť cez čistý text a služba Windows Server neumožňuje autentifikáciu v otvorenom texte na pripojenie k zdieľanému priečinku alebo tlačiarni, pokiaľ viem, je to len pri prihlásení cez ASP skript pomocou Advapi alebo pri prihlásení používateľa do IIS pomocou základnej autentifikácie. Advapi bude všetko uvedené v stĺpci Login Process.
Úspešné prihlásenie na web:
Používateľské meno: IUSR_HP-8DFC7CA1B32C
Doména: HP-8DFC7CA1B32C
Prihlasovacie ID: (0x0,0x89F503)
Typ prihlásenia: 8
Proces prihlásenia: Advapi
Autentifikačný paket: Vyjednávanie
Názov pracovnej stanice: HP-8DFC7CA1B32C
Login GUID:-
Používateľské meno volajúceho: SIEŤOVÁ SLUŽBA
Autorita volania: AUTORITA NT
Prihlasovacie ID volajúceho: (0x0,0x3E4)
ID procesu volajúceho: 3656
Doručovacie služby: -
Adresa zdrojovej siete: -
Zdrojový port: -
Názov procesu volajúceho: %16
Typ prihlásenia 9: Nové prihlasovacie údaje
Keď spustíte program s parametrom /netonly, RUNAS ho spustí ako lokálny aktuálne prihlásený používateľ, ale ak sa program potrebuje pripojiť k iným počítačom v sieti, pripojí sa k používateľovi uvedenému v príkaze RUNAS a Windows zaznamená toto prihlásenie ako typ 9, ak príkaz RUNAS nemá parameter /netonly, program spustí ako určený používateľ, ale typ prihlásenia v logu je 2.
Typ prihlásenia 10: RemoteInteractive
Keď pristupujete k počítaču cez Terminal Services, Remote Desktop alebo Remote Assistance, Windows ho označí ako Type 10, aby sa odlíšil od skutočného Console Login, pričom tento typ prihlásenia nebol podporovaný vo verziách pred XP, napríklad Windows 2000 stále zapíše Terminal Services Login ako Type 2.
Typ prihlásenia 11: CachedInteractive
Windows podporuje funkciu nazývanú cached login, ktorá je obzvlášť výhodná pre mobilných používateľov, napríklad keď sa prihlásite ako doménový používateľ mimo siete a nemôžete sa prihlásiť do doménového kontroléra, ktorý vo Windows predvolene cache hashe prihlasovacích údajov pre posledných 10 interaktívnych prihlásení do domény, a ak sa neskôr prihlásite ako doménový používateľ a nie je dostupný žiadny doménový kontrolér, Windows použije tieto hashy na overenie vašej identity.
Vyššie uvedené popisuje typ prihlásenia vo Windows, ale Windows 2000 štandardne nezaznamenáva bezpečnostné logy, najprv musíte povoliť "Audit Login Events" v skupinovej politike "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies", aby ste videli vyššie uvedené logové informácie. Dúfam, že tieto podrobné záznamové informácie pomôžu všetkým lepšie pochopiť situáciu v systéme a udržať stabilitu siete. |
Zverejnené 14. 11. 2018 16:19:16
|
|
|
