Ko pregledate varnostni dnevnik Windows, pogosto najdete različne vrednosti za tip prijave. Obstajajo 2, 3, 5, 8 itd. Najpogostejši tipi sta 2 (interaktivni) in 3 (spletni).
Možne vrednosti vrste prijave so podrobno navedene spodaj
Tip prijave 2: Interaktivna prijava
To bi moral biti prvi način prijave, na katerega pomislite; tako imenovana interaktivna prijava se nanaša na prijavo, ki jo uporabnik opravi na konzoli računalnika, torej prijavo na lokalni tipkovnici.
Tip prijave 3: Omrežje
Ko dostopate do računalnika iz omrežja, je Windows v večini primerov označen kot tip 3, najpogosteje pri povezavi z deljeno mapo ali deljenim tiskalnikom. V večini primerov je ta tip zabeležen tudi pri prijavi v IIS prek interneta, razen osnovne metode avtentikacije IIS prijave, ki bo zabeležena kot tip 8, opisana spodaj.
Uspešna spletna prijava:
Uporabniško ime:
Domene:
Prijavni ID: (0x2,0xFC38EC05)
Vrste prijave: 3
Postopek prijave: NtLmSsp
Avtentikacijski paket: NTLM
Ime delovne postaje: 098B11CAF05E4A0
Login GUID:-
Uporabniško ime klicatelja: -
Klicanje kvadratov: -
ID prijave klicatelja: -
ID klicatelja: -
Dostavne storitve: -
Izvorni omrežni naslov: 192.168.197.35
Izvorni port: 0
Ime procesa klicatelja: %16
Tip prijave 4: Batch
Ko Windows izvede načrtovano nalogo, storitev Scheduled Task Service najprej ustvari novo prijavno sejo za nalogo, da se lahko izvaja pod uporabniškim računom, konfiguriranim za to načrtovano nalogo; ko se ta prijava pojavi, jo Windows zabeleži kot tip 4 v dnevniku, za druge vrste sistemov delovnih nalog lahko glede na zasnovo ustvari tudi prijavni dogodek tipa 4 ob začetku dela, prijava tipa 4 običajno pomeni, da se začne načrtovana naloga, Vendar pa je lahko tudi zlonamerni uporabnik, ki ugiba geslo prek načrtovane naloge, kar povzroči dogodek neuspeha prijave tipa 4, vendar je lahko ta neuspešna prijava posledica tega, da uporabniško geslo za načrtovano nalogo ni bilo sinhrono spremenjeno, na primer če je bilo geslo spremenjeno in je pozabil spremeniti v načrtovani nalogi.
Tip prijave 5: Storitev
Podobno kot pri načrtovanih nalogah je vsaka storitev nastavljena tako, da teče pod določenim uporabniškim računom; ko se storitev zažene, Windows najprej ustvari prijavno sejo za tega specifičnega uporabnika, ki bo zabeležena kot tip 5, neuspešni tip 5 običajno pomeni, da se je geslo uporabnika spremenilo in ni bilo posodobljeno tukaj, seveda pa je to lahko tudi posledica ugibanja gesla zlonamernega uporabnika, vendar je to manj verjetno. Ker ustvarjanje nove storitve ali urejanje obstoječe storitve privzeto zahteva identiteto administratorja ali serversoperatorjev, je zlonamerni uporabnik te identitete že dovolj sposoben, da stori svoja slaba dejanja, in ni treba ugibati gesla za storitev.
Uspešno ste se prijavili v svoj račun.
Teme:
Varnostna identifikacija: SISTEM
Ime računa: NAUTICAR-X200$
Domena računa: DELOVNA SKUPINA
Prijavni ID: 0x3e7
Tip prijave: 5
Nove prijave:
Varnostna identifikacija: SISTEM
Ime računa: SYSTEM
Domena računa: NT AUTHORITY
Prijavni ID: 0x3e7
Login GUID:{00000000-0000-0000-0000-000000000000}
Informacije o postopku:
ID procesa: 0x254
Ime procesa: C:\Windows\System32\services.exe
Informacije o mreži:
Ime delovne postaje:
Naslov izvornega omrežja: -
Source Port: -
Podrobne informacije o avtentikaciji:
Postopek prijave: Advapi
Avtentikijski paket: Pogajanje
Dostavne storitve: -
Ime paketa (samo NTLM): -
Dolžina ključa: 0
Ta dogodek se ustvari na dostopnem računalniku po vzpostavitvi prijavne seje.
Polje Predmet označuje račun v lokalnem sistemu, ki zahteva prijavo. To je običajno storitev (kot je strežniška storitev) ali lokalni proces (kot sta Winlogon.exe ali Services.exe).
Tip prijave 7: Odkleni
Morda želite, da ustrezna delovna postaja samodejno zažene zaslonski varovalec z geslom, ko uporabnik zapusti računalnik, in ko se uporabnik vrne odkleniti, Windows to operacijo odklepanja šteje kot prijavo tipa 7, neuspešna prijava tipa 7 pa pomeni, da je nekdo vnesel napačno geslo ali poskuša odkleniti računalnik.
Tip prijave 8: NetworkCleartext
Ta prijava označuje, da gre za prijavo tipa 3 v omrežju, vendar se geslo za to prijavo prenaša prek omrežja preko navadnega besedila, storitev Windows Server pa ne dovoljuje pristnosti z odprtim besedilom za povezavo z deljeno mapo ali tiskalnikom, kolikor vem, je to le pri prijavi prek ASP skripte z uporabo Advapi ali pri prijavi uporabnika v IIS z osnovno avtentikacijo. Advapi bo vse navedeno v stolpcu Postopek prijave.
Uspešna spletna prijava:
Uporabniško ime: IUSR_HP-8DFC7CA1B32C
Domena: HP-8DFC7CA1B32C
Prijavni ID: (0x0,0x89F503)
Tip prijave: 8
Postopek prijave: Advapi
Avtentikijski paket: Pogajanje
Ime delovne postaje: HP-8DFC7CA1B32C
Login GUID:-
Uporabniško ime klicatelja: OMREŽNA STORITEV
Pooblastilo za klic: AVTORITETA NT
ID prijave klicatelja: (0x0,0x3E4)
ID klicateljevega procesa: 3656
Dostavne storitve: -
Naslov izvornega omrežja: -
Source Port: -
Ime procesa klicatelja: %16
Tip prijave 9: Nove poverilnice
Ko zaženete program s parametrom /netonly, ga RUNAS zažene kot lokalni trenutno prijavljeni uporabnik, vendar če se program mora povezati z drugimi računalniki v omrežju, se poveže z uporabnikom, navedenim v ukazu RUNAS, Windows pa bo to prijavo zabeležil kot tip 9; če ukaz RUNAS nima parametra /netonly, se program zažene kot določen uporabnik, vendar je tip prijave v dnevniku 2.
Tip prijave 10: RemoteInteractive
Ko dostopate do računalnika prek Terminal Services, Remote Desktop ali Remote Assistance, ga Windows označi kot tip 10, da ga loči od pravega konzolnega prijavnega zapisa; upoštevajte, da ta tip prijave ni bil podprt v različicah pred XP, na primer Windows 2000 še vedno zapiše prijavo v Terminal Services kot tip 2.
Tip prijave 11: CachedInteractive
Windows podpira funkcijo, imenovano predpomnjena prijava, ki je še posebej koristna za mobilne uporabnike, na primer, ko se prijavite kot domenski uporabnik zunaj vašega omrežja in se ne morete prijaviti v domenski krmilnik, ki privzeto predpomni zgoščene podatke za zadnjih 10 interaktivnih prijav domene, in če se kasneje prijavite kot domenski uporabnik in domenski krmilnik ni na voljo, bo Windows uporabil te zgoščene vrednosti za preverjanje vaše identitete.
Zgornje opisuje tip prijave v Windows, vendar Windows 2000 privzeto ne beleži varnostnih dnevnikov; najprej morate omogočiti "Audit Login Events" pod skupinsko politiko "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies", da vidite zgornje podatke o dnevniku. Upam, da bodo te podrobne informacije o zapisih pomagale vsem bolje razumeti situacijo v sistemu in ohraniti stabilnost omrežja. |
Objavljeno na 14. 11. 2018 16:19:16
|
|
|
