När du loggar Windows säkerhet hittar du ofta olika värden för inloggningstypen. Det finns 2, 3, 5, 8, osv. De vanligaste typerna är 2 (interaktiv) och 3 (webb).
De möjliga inloggningstypvärdena listas i detalj nedan
Inloggningstyp 2: Interaktiv inloggning
Detta bör vara den första inloggningsmetoden du tänker på, den så kallade interaktiva inloggningen syftar på inloggningen som användaren gör på datorns konsol, det vill säga inloggningen som görs på det lokala tangentbordet.
Inloggningstyp 3: Nätverk
När du kommer åt en dator från ett nätverk markeras Windows som typ 3 i de flesta fall, oftast när man ansluter till en delad mapp eller en delad skrivare. I de flesta fall registreras den också som denna typ när man loggar in på IIS via Internet, förutom den grundläggande autentiseringsmetoden IIS-inloggning, som registreras som typ 8, vilken beskrivs nedan.
Lyckad webbinloggning:
Användarnamn:
Domäner:
Inloggnings-ID: (0x2,0xFC38EC05)
Inloggningstyper: 3
Inloggningsprocess: NtLmSsp
Autentiseringspaket: NTLM
Arbetsstationens namn: 098B11CAF05E4A0
Logga in GUID:-
Uppringarens användarnamn: -
Att kalla på fyrkanter: -
Uppringarens inloggnings-ID: -
Anroparprocess-ID: -
Leveranstjänster: -
Källnätverksadress: 192.168.197.35
Källaport: 0
Namn: Anroparens processnamn: 16 %
Inloggningstyp 4: Batch
När Windows kör en schemalagd uppgift skapar Scheduled Task Service först en ny inloggningssession för uppgiften så att den kan köras under det användarkonto som är konfigurerat för denna schemalagda uppgift. När inloggningen dyker upp registrerar Windows den som typ 4 i loggen, för andra typer av arbetsuppgifter, beroende på designen, kan den också generera en typ 4-inloggningshändelse när arbetet startas, typ 4-inloggning indikerar vanligtvis att en schemalagd uppgift startar, Det kan dock också vara en illvillig användare som gissar användarlösenordet via en schemalagd uppgift, vilket skulle resultera i ett typ 4-inloggningsfel, men denna misslyckade inloggning kan också orsakas av att användarlösenordet för den schemalagda uppgiften inte ändras synkront, till exempel att användarlösenordet ändras och man glömmer att ändra det i den schemalagda uppgiften.
Inloggningstyp 5: Tjänst
Liknande schemalagda uppgifter är varje tjänst konfigurerad att köras under ett specifikt användarkonto, när en tjänst startar skapar Windows först en inloggningssession för just denna användare, som registreras som typ 5, misslyckad typ 5 indikerar vanligtvis att användarens lösenord har ändrats och inte har uppdaterats här, detta kan förstås också orsakas av en illvillig användares lösenordsgissning, men detta är mindre sannolikt, Eftersom skapandet av en ny tjänst eller redigering av en befintlig tjänst kräver identiteten administratör eller serversoperators som standard, är den illvilliga användaren av denna identitet redan tillräckligt kapabel för att göra sina dåliga handlingar, och det finns inget behov av att gissa tjänstelösenordet.
Du har loggat in på ditt konto framgångsrikt.
Ämnen:
Säkerhets-ID: SYSTEM
Kontonamn: NAUTICAR-X200$
Kontodomän: WORKGROUP
Inloggnings-ID: 0x3e7
Inloggningstyp: 5
Nya inloggningar:
Säkerhets-ID: SYSTEM
Kontonamn: SYSTEM
Kontodomän: NT AUTHORITY
Inloggnings-ID: 0x3e7
Logga in GUID:{000000000-0000-0000-00000-0000000000}
Processinformation:
Process-ID: 0x254
Processnamn: C:\Windows\System32\services.exe
Nätverksinformation:
Arbetsstationens namn:
Källnätverksadress: -
Källport: -
Detaljerad autentiseringsinformation:
Inloggningsprocess: Advapi
Autentiseringspaket: Förhandla
Leveranstjänster: -
Paketnamn (endast NTLM): -
Nyckellängd: 0
Denna händelse genereras på den åtkomstdator efter att inloggningssessionen har skapats.
Ämnesfältet visar vilket konto i det lokala systemet som begär inloggning. Detta är vanligtvis en tjänst (såsom en servertjänst) eller en lokal process (som Winlogon.exe eller Services.exe).
Inloggningstyp 7: Lås upp
Du kan vilja att motsvarande arbetsstation automatiskt startar en lösenordsskyddad skärmsläckare när en användare lämnar sin dator, och när en användare kommer tillbaka för att låsa upp ser Windows denna upplåsningsoperation som en Typ 7-inloggning, och en misslyckad inloggning med Typ 7 indikerar att någon har angett fel lösenord eller försöker låsa upp datorn.
Inloggningstyp 8: NetworkCleartext
Denna inloggning indikerar att detta är en typ 3-nätverksinloggning, men lösenordet för denna inloggning skickas över nätverket via klartext, och Windows Server-tjänsten tillåter inte klartextautentisering för att ansluta till en delad mapp eller skrivare, såvitt jag vet är det bara när man loggar in från ett ASP-skript med Advapi eller en användare loggar in på IIS med grundläggande autentisering. Advapi kommer alla att listas i kolumnen Inloggningsprocess.
Lyckad webbinloggning:
Användarnamn: IUSR_HP-8DFC7CA1B32C
Domän: HP-8DFC7CA1B32C
Inloggnings-ID: (0x0,0x89F503)
Inloggningstyp: 8
Inloggningsprocess: Advapi
Autentiseringspaket: Förhandla
Arbetsstationsnamn: HP-8DFC7CA1B32C
Logga in GUID:-
Uppringarens användarnamn: NETWORK SERVICE
Kallande auktoritet: NT AUTHORITY
Uppringarens inloggnings-ID: (0x0,0x3E4)
Uppringarens process-ID: 3656
Leveranstjänster: -
Källnätverksadress: -
Källport: -
Namn: Anroparens processnamn: 16 %
Inloggningstyp 9: Nya inloggningsuppgifter
När du kör ett program med parametern /netonly, kör RUNAS det som den lokala aktuella inloggade användaren, men om programmet behöver ansluta till andra datorer i nätverket kommer det att ansluta till användaren som anges i RUNAS-kommandot, och Windows kommer att registrera inloggningen som typ 9, om RUNAS-kommandot inte har parametern /netonly, kommer programmet att köras som den angivna användaren, men inloggningstypen i loggen är 2.
Inloggningstyp 10: RemoteInteractive
När du kommer åt en dator via Terminal Services, Remote Desktop eller Remote Assistance kommer Windows att markera den som Typ 10 för att skilja den från den verkliga Console Login, observera att denna inloggningstyp inte stöddes i versioner före XP, till exempel skriver Windows 2000 fortfarande Terminal Services Login som Typ 2.
Inloggningstyp 11: CachedInteractive
Windows stöder en funktion som kallas cachad login, vilket är särskilt fördelaktigt för mobila användare, till exempel när du loggar in som domänanvändare utanför ditt nätverk och inte kan logga in på en domänkontrollant, vilket som standard cachar inloggningar för de senaste 10 interaktiva domäninloggningarna, och om du senare loggar in som domänanvändare och ingen domänkontroller finns tillgänglig, kommer Windows att använda dessa hashar för att verifiera din identitet.
Ovan beskriver inloggningstypen för Windows, men Windows 2000 registrerar inte säkerhetsloggar som standard, du måste först aktivera "Audit Login Events" under grupppolicyn "Computer Configuration/Windows Settings/Security Settings/Local Policies/Audit Policies" för att se logginformationen ovan. Jag hoppas att denna detaljerade dokumentation hjälper alla att bättre förstå systemsituationen och upprätthålla nätverksstabilitet. |
Publicerad på 2018-11-14 16:19:16
|
|
|
