Раскрыты коды типов входа в систему
Идентификаторы событий 528 и 540 означают успешный вход в систему, событие с идентификатором 538 — выход из системы, а все остальные события в этой категории определяют различные причины неудачного входа в систему. Однако простое знание об успешной или неудачной попытке входа в систему не дает полной картины. Из-за всех услуг, предлагаемых Windows, существует множество различных способов входа в систему на компьютере, например, в интерактивном режиме с локальной клавиатуры и экрана компьютера, по сети через сопоставление дисков или через службы терминалов (также известные как удаленный рабочий стол) или через IIS. К счастью, события входа в систему/выхода из системы указывают код типа входа в систему, который показывает тип входа в систему, вызвавший событие.
Мы также собрали все коды типов входа и их пояснения в одностраничную памятку, которую вы можете использовать в качестве быстрого справочника. Загрузите его отсюда.
Тип входа 2 — интерактивный
Это первое, что приходит вам в голову, когда вы думаете о входе в систему, то есть входе в систему с консоли компьютера. Вы увидите входы типа 2, когда пользователь попытается войти в систему с локальной клавиатуры и экрана, будь то с учетной записью домена или локальной учетной записью из локального SAM компьютера. Чтобы определить разницу между попыткой входа в систему с локальной или доменной учетной записью, найдите имя домена или компьютера перед именем пользователя в описании события. Не забывайте, что вход в систему через компонент KVM over IP или запатентованную серверную функцию удаленного KVM с отключением света по-прежнему является интерактивным входом в систему с точки зрения Windows и будет регистрироваться как таковой.
Тип входа 3 — Сеть
Windows регистрирует тип входа 3 в большинстве случаев, когда вы получаете доступ к компьютеру из другого места в сети. Одним из наиболее распространенных источников событий входа в систему с типом входа 3 являются подключения к общим папкам или принтерам. Но другие входы в сеть по сети классифицируются как вход типа 3, например, большинство входов в IIS. (Исключением является базовая аутентификация, которая описана ниже в разделе «Тип входа 8».)
Тип входа 4 — пакетный
Когда Windows выполняет запланированное задание, служба запланированного задания сначала создает новый сеанс входа в систему для задания, чтобы оно могло выполняться с правами учетной записи пользователя, указанной при создании задания. Когда происходит эта попытка входа в систему, Windows регистрирует ее как тип входа 4. Другие системы планирования заданий, в зависимости от их конструкции, также могут генерировать события входа в систему с типом входа 4 при запуске заданий. События входа в систему типа 4 обычно представляют собой просто невинные запуски запланированных задач, но злоумышленник может попытаться подорвать безопасность, пытаясь угадать пароль учетной записи с помощью запланированных задач. Такие попытки будут генерировать событие сбоя входа в систему, где тип входа равен 4. Но сбои входа в систему, связанные с запланированными задачами, также могут быть вызваны тем, что администратор вводит неправильный пароль для учетной записи во время создания задачи или из-за изменения пароля учетной записи без изменение запланированного задания для использования нового пароля.
Тип входа 5 – Служба
Как и в случае с запланированными задачами, каждая служба настраивается для запуска под определенной учетной записью пользователя. Когда служба запускается, Windows сначала создает сеанс входа в систему для указанной учетной записи пользователя, что приводит к событию входа/выхода из системы с типом входа 5. События неудачного входа в систему с типом входа 5 обычно указывают на то, что пароль учетной записи был изменен без обновления службы. но всегда есть вероятность того, что на работе будут злонамеренные пользователи. Однако это маловероятно, потому что создание новой службы или редактирование существующей службы по умолчанию требует членства в администраторах или операторах сервера, и такой пользователь, если он злонамерен, скорее всего, уже будет иметь достаточно полномочий для достижения желаемой цели.
Тип входа 7 — разблокировать
Надеемся, что рабочие станции в вашей сети автоматически запускают экранную заставку, защищенную паролем, когда пользователь покидает свой компьютер, чтобы оставленные без присмотра рабочие станции были защищены от злонамеренного использования. Когда пользователь возвращается на свою рабочую станцию и разблокирует консоль, Windows рассматривает это как вход в систему и регистрирует соответствующее событие входа/выхода из системы, но в этом случае тип входа будет 7, что определяет событие как попытку разблокировки рабочей станции. Неудачные входы в систему с типом входа 7 указывают либо на то, что пользователь вводит неверный пароль, либо на злонамеренного пользователя, пытающегося разблокировать компьютер, угадывая пароль.
Тип входа 8 — NetworkCleartext
Этот тип входа указывает на сетевой вход, подобный входу типа 3, но при котором пароль был отправлен по сети в виде открытого текста. Сервер Windows не разрешает подключение к общему файлу или принтерам с аутентификацией открытым текстом. Единственная известная мне ситуация — это вход из сценария ASP с использованием ADVAPI или когда пользователь входит в IIS с использованием режима базовой аутентификации IIS. В обоих случаях процесс входа в систему будет указан в описании события advapi. Обычная аутентификация опасна только в том случае, если она не заключена в сеанс SSL (например, https). Что касается входа в систему, созданного ASP, сценарий помните, что внедрение паролей в исходный код является плохой практикой для целей обслуживания, а также риск того, что кто-то злоумышленник просмотрит исходный код и таким образом получит пароль.
Тип входа 9 — Новые учетные данные
Если вы используете команду RunAs для запуска программы под другой учетной записью пользователя и указываете переключатель /netonly, Windows записывает событие входа/выхода из системы с типом входа 9. локальный компьютер в качестве пользователя, под которым вы в настоящее время вошли в систему, но для любых подключений к другим компьютерам в сети Windows подключает вас к этим компьютерам с использованием учетной записи, указанной в команде RunAs. Без /neonly Windows запускает программу на локальном компьютере и в сети от имени указанного пользователя и записывает событие входа в систему с типом входа 2.
Тип входа 10 — RemoteInteractive
Когда вы получаете доступ к компьютеру через службы терминалов, удаленный рабочий стол или окна удаленного помощника, регистрируется попытка входа в систему с типом входа 10, что позволяет легко отличить настоящий вход с консоли от сеанса удаленного рабочего стола. Обратите внимание, однако, что до XP Windows 2000 не использовала тип входа 10, а входы в терминальные службы сообщались как вход типа 2.
Тип входа 11 — CachedInteractive
Windows поддерживает функцию «Кэшированные входы в систему», которая упрощает работу мобильных пользователей. Когда вы не подключены к сети вашей организации и пытаетесь войти в свой ноутбук с учетной записью домена, для ноутбука не доступен контроллер домена, с помощью которого можно подтвердить вашу личность. Чтобы решить эту проблему, Windows кэширует хэш учетных данных последних 10 интерактивных входов в домен. Позже, когда контроллер домена недоступен, Windows использует эти хэши для проверки вашей личности при попытке входа в систему с учетной записью домена.
Вывод
Я надеюсь, что это обсуждение типов входа в систему и их значений поможет вам следить за своей сетью Windows и пытаться собрать воедино различные способы доступа пользователей к вашим компьютерам. Важно обращать внимание на тип входа, поскольку различные типы входа могут повлиять на то, как вы интерпретируете события входа в систему с точки зрения безопасности. Например, неудачный вход в сеть на сервере теперь может вызывать удивление, поскольку пользователи должны постоянно получать доступ к серверам по сети. Но неудачная попытка входа в сеть в журнале безопасности рабочей станции отличается. Почему кто-то пытается получить доступ к чужой рабочей станции по сети? Как видите, стоит разобраться в журнале безопасности.
Если вы хотите сохранить или распечатать эти пояснения к коду входа в систему для последующего использования в красиво отформатированном шпаргалке, вы можете скачать его отсюда.