Під час журналу безпеки Windows часто зустрічаються різні значення типу входу. Їх 2, 3, 5, 8 і так далі. Найпоширеніші типи — 2 (інтерактивні) і 3 (веб).
Можливі значення типів входу наведені нижче детально
Тип входу 2: Інтерактивний вхід
Це має бути перший спосіб входу, який ви уявляєте, так званий інтерактивний вхід стосується входу, який користувач здійснює на консолі комп'ютера, тобто входу на локальній клавіатурі.
Тип входу 3: Мережа
Коли ви отримуєте доступ до комп'ютера через мережу, Windows у більшості випадків позначається як Тип 3, найчастіше при підключенні до спільної папки або спільного принтера. У більшості випадків він також фіксується як цей тип при вході в IIS через Інтернет, за винятком базового способу автентифікації входу IIS, який буде записаний як тип 8, що буде описано нижче.
Успішний веб-вхід:
Ім'я користувача:
Домени:
Ідентифікатор входу: (0x2,0xFC38EC05)
Типи входу: 3
Процес входу: NtLmSsp
Пакет автентифікації: NTLM
Назва робочої станції: 098B11CAF05E4A0
Вход GUID:-
Ім'я користувача абонента: -
Виклик квадратів: -
Ідентифікатор входу абонента: -
Ідентифікатор процесу абонента: -
Послуги доставки: -
Адреса вихідної мережі: 192.168.197.35
Порт джерела: 0
Назва процесу абонента: %16
Тип входу 4: Batch
Коли Windows виконує заплановане завдання, Служба запланованого завдання спочатку створює нову сесію входу для завдання, щоб вона могла запускатися під обліковим записом користувача, налаштованим для цього завдання. Коли цей логін з'являється, Windows записує його як тип 4 у журналі. Для інших типів систем робочих завдань, залежно від дизайну, він також може генерувати подію входу типу 4 при початку роботи, тип входу 4 зазвичай означає, що заплановане завдання починається, Однак це також може бути зловмисний користувач, який вгадав пароль користувача через заплановане завдання, що призведе до невдачі типу 4 входу, але цей невдалий вхід також може бути спричинений тим, що пароль користувача від запланованої задачі не змінюється синхронно, наприклад, пароль користувача змінюється і він забуває змінити його у запланованому завданні.
Тип входу 5: Сервіс
Подібно до запланованих завдань, кожен сервіс налаштований на роботу під певним обліковим записом користувача, коли сервіс запускається, Windows спочатку створює сесію входу для цього користувача, яка буде зареєстрована як тип 5, невдалий тип 5 зазвичай означає, що пароль користувача змінився і не оновлювався тут. Звісно, це також може бути спричинено вгадуванням пароля шкідливим користувачем, але це менш імовірно, Оскільки створення нового сервісу або редагування існуючого сервісу за замовчуванням вимагає ідентифікації адміністратора або serversoperators, зловмисний користувач цієї ідентичності вже достатньо здатний, щоб чинити свої погані вчинки, і немає потреби вгадувати пароль сервісу.
Ви успішно увійшли у свій акаунт.
Теми:
Security ID: SYSTEM
Ім'я рахунку: NAUTICAR-X200$
Домен облікового запису: WORKGROUP
Ідентифікатор входу: 0x3e7
Тип входу: 5
Нові логіни:
Security ID: SYSTEM
Назва рахунку: SYSTEM
Домен облікового запису: NT AUTHORITY
Ідентифікатор входу: 0x3e7
Login GUID:{00000000-0000-0000-00000-000000000}
Інформація про процес:
Ідентифікатор процесу: 0x254
Назва процесу: C:\Windows\System32\services.exe
Інформація про мережу:
Назва робочої станції:
Адреса вихідної мережі: -
Порт джерела: -
Детальна інформація про автентифікацію:
Процес входу: Advapi
Пакет автентифікації: Узгодження
Послуги доставки: -
Назва пакету (тільки NTLM): -
Довжина ключа: 0
Ця подія генерується на комп'ютері після створення сесії входу.
Поле Subject вказує на обліковий запис у локальній системі, який запитує увійти в систему. Зазвичай це сервіс (наприклад, серверний сервіс) або локальний процес (наприклад, Winlogon.exe чи Services.exe).
Тип входу 7: Розблокування
Можливо, вам потрібно, щоб відповідна робоча станція автоматично запускала скринсейвер, захищений паролем, коли користувач залишає комп'ютер, і коли користувач повертається для розблокування, Windows вважає цю операцію розблокування Типу 7, а невдалий вхід Типу 7 означає, що хтось ввів неправильний пароль або хтось намагається розблокувати комп'ютер.
Тип входу 8: NetworkCleartext
Цей вхід вказує, що це мережевий вхід типу 3, але пароль для цього входу передається через відкритий текст, і сервіс Windows Server не дозволяє аутентифікації відкритим текстом підключатися до спільної папки або принтера, наскільки мені відомо, це відбувається лише при вході через ASP-скрипт за допомогою Advapi або при вході користувача в IIS за допомогою базової автентифікації. Всі Advapi будуть наведені у колонці Процес входу.
Успішний веб-вхід:
Ім'я користувача: IUSR_HP-8DFC7CA1B32C
Домен: HP-8DFC7CA1B32C
Ідентифікатор входу: (0x0,0x89F503)
Тип входу: 8
Процес входу: Advapi
Пакет автентифікації: Узгодження
Назва робочої станції: HP-8DFC7CA1B32C
Вход GUID:-
Ім'я користувача абонента: NETWORK SERVICE
Виклик авторитету: NT AUTHORITY
Ідентифікатор входу абонента: (0x0,0x3E4)
Ідентифікатор процесу абонента: 3656
Послуги доставки: -
Адреса вихідної мережі: -
Порт джерела: -
Назва процесу абонента: %16
Тип входу 9: Нові облікові дані
Коли ви запускаєте програму з параметром /netonly, RUNAS запускає її як локальний поточний увійшов користувач, але якщо програмі потрібно підключитися до інших комп'ютерів у мережі, вона підключається до користувача, вказаного в команді RUNAS, і Windows запише цей логін як тип 9; якщо команда RUNAS не має параметра /netonly, програма запускається як вказаний користувач, але тип входу в журналі — 2.
Тип входу 10: RemoteInteractive
Коли ви отримуєте доступ до комп'ютера через Terminal Services, Remote Desktop або Remote Assistance, Windows позначає його як Тип 10, щоб відрізнити від справжнього Console Login, зверніть увагу, що цей тип входу не підтримувався у версіях до XP, наприклад, Windows 2000 все одно записує Terminal Services Login як Тип 2.
Тип входу 11: CachedInteractive
Windows підтримує функцію кешованого входу, яка особливо корисна для мобільних користувачів, наприклад, коли ви входите як користувач домену поза мережею і не можете увійти в контролер домену, який за замовчуванням кешує хеші облікових даних для останніх 10 інтерактивних доменних входів, і якщо пізніше ви увійдете як користувач домену, а контролер домену недоступний, Windows використовує ці хеші для підтвердження вашої особи.
Вищезазначений опис типу входу в Windows, але Windows 2000 за замовчуванням не фіксує журнали безпеки; спочатку потрібно увімкнути "Аудит подій входу" у груповій політиці "Налаштування комп'ютера/Налаштування Windows/Налаштування безпеки/Локальні політики/Політики аудиту", щоб побачити наведену інформацію журналу. Сподіваюся, що ця детальна інформація допоможе всім краще зрозуміти ситуацію з системою та підтримувати стабільність мережі. |
Опубліковано 14.11.2018 16:19:16
|
|
|
