Windows güvenlik kaydını açtığınızda, giriş tipi için genellikle farklı değerler bulursunuz. 2, 3, 5, 8 vs. var. En yaygın tipler 2 (etkileşimli) ve 3 (web) tipleridir.
Olası giriş tipi değerleri aşağıda ayrıntılı olarak listelenmiştir
Giriş Tipi 2: Etkileşimli Giriş
Bu, aklınıza gelen ilk giriş yöntemi olmalı; sözde etkileşimli giriş denen, kullanıcının bilgisayarın konsolunda, yani yerel klavyede yaptığı girişi ifade eder.
Giriş Türü 3: Ağ
Bir ağdan bilgisayara eriştiğinizde, Windows çoğu durumda, paylaşılan klasöre veya paylaşılan yazıcıya bağlandığında Tip 3 olarak işaretlenir. Çoğu durumda, IIS'e internet üzerinden giriş yaparken de bu tür olarak kaydedilir; temel kimlik doğrulama yöntemi olan IIS girişi ise aşağıda açıklanacak tip 8 olarak kaydedilecektir.
Başarılı web girişi:
Kullanıcı adı:
Alan Alanları:
Giriş Kimliği: (0x2,0xFC38EC05)
Giriş Türleri: 3
Giriş süreci: NtLmSsp
Kimlik doğrulama paketi: NTLM
İş İstasyonu Adı: 098B11CAF05E4A0
Giriş GUID:-
Arayan Kullanıcı Adı: -
Çağıran Kareler: -
Arayan Giriş Kimliği: -
Arayan Süreç Kimliği: -
Teslimat Hizmetleri: -
Kaynak ağ adresi: 192.168.197.35
Kaynak Port: 0
Arayan süreç adı: %16
Giriş Tipi 4: Parti
Windows planlanmış bir görev çalıştırdığında, Zamanlanmış Görev Servisi önce görev için yeni bir oturum oluşturur ve böylece bu görev için yapılandırılmış kullanıcı hesabı altında çalışabilir, bu giriş göründüğünde Windows bunu logda tip 4 olarak kaydeder, diğer iş görev sistemleri için tasarımına bağlı olarak, işe başladığında tip 4 giriş olayı da oluşturabilir, tip 4 giriş genellikle planlı bir görevin başladığını gösterir, Ancak, planlanmış bir görev üzerinden kötü niyetli bir kullanıcı şifresini tahmin edebilir ve bu tür 4 giriş başarısızlığına yol açabilir, ancak bu başarısız giriş, planlanan görevin kullanıcı şifresinin senkron olarak değiştirilmemesinden de kaynaklanabilir; örneğin kullanıcı şifresi değiştirilip planlanan görevde değiştirilmeyi unutmuştur.
Giriş Türü 5: Hizmet
Planlanmış görevlere benzer şekilde, her hizmet belirli bir kullanıcı hesabı altında çalışacak şekilde yapılandırılır; bir hizmet başladığında Windows önce bu özel kullanıcı için bir oturum oluşturur ve bu oturum tip 5 olarak kaydedilir, başarısız tip 5 genellikle kullanıcının şifresinin değiştiğini ve burada güncellenmediğini gösterir, elbette bu da kötü niyetli bir kullanıcının şifre tahmininden kaynaklanabilir, ancak bu daha az olası bir durumdur, Yeni bir hizmet oluşturmak veya mevcut bir hizmeti düzenlemek varsayılan olarak yönetici veya sunucu operatörlerinin kimliğini gerektirdiğinden, bu kimliğin kötü niyetli kullanıcısı zaten kötü işleri yapacak kadar yeteneklidir ve hizmet şifresini tahmin etmeye gerek yoktur.
Hesabınıza başarıyla giriş yaptınız.
Konular:
Güvenlik ID: SYSTEM
Hesap Adı: NAUTICAR-X200$
Hesap alanı: WORKGROUP
Giriş Kimliği: 0x3e7
Giriş Türü: 5
Yeni Girişler:
Güvenlik ID: SYSTEM
Hesap Adı: SYSTEM
Hesap Alan Alanı: NT OTORİTE
Giriş Kimliği: 0x3e7
Giriş GUID:{000000000-0000-0000-0000-00000000}
Süreç bilgileri:
Süreç Kimliği: 0x254
Süreç adı: C:\Windows\System32\services.exe
Ağ bilgileri:
İş İstasyonu Adı:
Kaynak Ağ Adresi: -
Kaynak Port: -
Detaylı kimlik doğrulama bilgileri:
Giriş süreci: Advapi
Kimlik doğrulama paketi: Pazarlık
Teslimat Hizmetleri: -
Paket Adı (Sadece NTLM): -
Anahtar uzunluğu: 0
Bu olay, erişim oturumu oluşturulduktan sonra erişilen bilgisayarda oluşturulur.
Konu alanı, oturum açma talebinde bulunan yerel sistemdeki hesabı gösterir. Bu genellikle bir hizmet (örneğin Server servisi) veya yerel bir süreçtir (örneğin Winlogon.exe veya Services.exe).
Giriş Tipi 7: Kilidini Aç
Bir kullanıcı bilgisayarından ayrıldığında ilgili iş istasyonunun otomatik olarak şifre korumalı ekran koruyucusu başlatmasını ve bir kullanıcı tekrar kilidini açmak için geri döndüğünde, Windows bu açma işlemini Tip 7 giriş olarak kabul eder ve başarısız Tip 7 girişi birinin yanlış şifreyi girdiğini veya birinin bilgisayarı açmaya çalıştığını gösterir.
Giriş Tipi 8: NetworkCleartext
Bu giriş, bunun tip 3 ağ girişi olduğunu gösteriyor, ancak bu giriş şifresi ağ üzerinden açık metin ile iletilir ve Windows Server servisi, sadece ASP betiklerinden Advapi ile giriş yaparken veya bir kullanıcının temel kimlik doğrulama ile IIS'e giriş yaptığında olduğu gibi, açık metin doğrulamasının paylaşılan klasöre veya yazıcıya bağlanmasına izin vermez. Advapi'nin tamamı Giriş Süreci sütununda listelenecek.
Başarılı web girişi:
Kullanıcı adı: IUSR_HP-8DFC7CA1B32C
Alan Alanı: HP-8DFC7CA1B32C
Giriş Kimliği: (0x0,0x89F503)
Giriş Türü: 8
Giriş süreci: Advapi
Kimlik doğrulama paketi: Pazarlık
İş İstasyonu Adı: HP-8DFC7CA1B32C
Giriş GUID:-
Arayan kullanıcı adı: NETWORK SERVICE
Çağrı Otoritesi: NT OTORİTE
Arayan Giriş Kimliği: (0x0,0x3E4)
Arayan süreç ID: 3656
Teslimat Hizmetleri: -
Kaynak Ağ Adresi: -
Kaynak Port: -
Arayan süreç adı: %16
Giriş Tipi 9: Yeni Kimlik Bilgileri
/netonly parametresiyle bir program çalıştırdığınızda, RUNAS onu yerel mevcut giriş yapmış kullanıcı olarak çalıştırır, ancak programın ağdaki diğer bilgisayarlara bağlanması gerekirse, RUNAS komutunda belirtilen kullanıcıya bağlanır ve Windows bu girişi tip 9 olarak kaydeder; RUNAS komutunda /netonly parametresi yoksa, program belirtilen kullanıcı olarak çalışır, ancak logdaki giriş tipi 2'dir.
Giriş Tipi 10: RemoteInteractive
Bir bilgisayara Terminal Hizmetleri, Uzak Masaüstü veya Uzaktan Yardım üzerinden eriştiğinizde, Windows bunu gerçek Konsol Girişinden ayırt etmek için Tip 10 olarak işaretler; bu giriş tipi XP'den önceki sürümlerde desteklenmemiştir, örneğin Windows 2000 Terminal Hizmetleri Girişini Tip 2 olarak yazmaya devam eder.
Giriş Tipi 11: CachedInteractive
Windows, önbelleğe bağlı giriş (cached) adlı bir özelliği destekler; bu özellik özellikle mobil kullanıcılar için faydalıdır; örneğin, ağınızın dışında alan adı kullanıcısı olarak giriş yaptığınızda ve bir alan kontrolcüsüne giriş yapamayın; Windows varsayılan olarak son 10 etkileşimli alan girişi için kimlik doğrulama hatlarını önbellekler ve daha sonra alan kullanıcı olarak giriş yaparsanız ve herhangi bir alan kontrolcüsü mevcut değilse, Windows bu hash'ları kullanarak kimliğinizi doğrular.
Yukarıdaki Windows giriş türünü açıklıyor, ancak Windows 2000 varsayılan olarak güvenlik kayıtlarını kaydetmez; yukarıdaki günlük bilgilerini görmek için önce "Bilgisayar Yapılandırması/Windows Ayarları/Güvenlik Ayarları/Yerel Politikalar/Denetim Politikaları" grup politikası altında "Denetim Giriş Olayları"nı etkinleştirmelisiniz. Umarım bu ayrıntılı kayıt bilgisi, herkesin sistem durumunu daha iyi kavraymasına ve ağ istikrarını korumasına yardımcı olur. |
Yayınlandı 14.11.2018 16:19:16
|
|
|
