Często dostaję pytania dotyczące logowani się do systemu i gdzie znaleźć informacje o tych zdarzeniach. Ponieważ temat nie jest tak prosty, jak samo pytanie to postanowiłem rozwinąć nieco temat, aby przynajmniej zdać sobie sprawę z tego jak rozbudowany jest to temat.
Zacznijmy od typów logowania, z jakimi możemy się spotkać w systemie Windows. Poniższa lista przedstawia także numer typu logowania, jaki znajdziemy w EventLog’u:
2: Interactive Logon– czyli logowanie do konsoli komputera z pomocą podłączonej do komputera klawiatury.
3: Network Logon – występuje gdy użytkownik dostaje się do zdalnych zasobów dyskowych lub drukarki udostępnionej. Również logowania do IIS klasyfikowane są jako ten typ logowania (nie dotyczy logowania do IIS przy włączonym „basic authentication” – to będzie typ nr 8).
4: Batch Logon – logowanie używane przy zadaniach uruchamianych z charmonogramu systemowego.
5: Service Logon – używany gdy serwis startuje w kontekście danego konta/użytkownika.
7: Unlock – używany, gdy odblokowujemy nasz system Windows.
8: Network clear text logon – to logowanie występuje, gdy logujemy się przez sieć gdy hasło wysyłane jest czystym tekstem (np. IIS z opcją „Basic authenticate”).
9: New credential-based logon – używane, gdy uruchamiamy program w kontekście innego użytkownika używając polecenia RunAs z przełącznikiem /netonly (bez tego przełącznika mamy do czynienia z logowaniem typu nr 2).
10: Remote Interactive Logon: używane przy sesjach RDP.
11: Cached Interactive Logon – używany np. w przypadku logowania do komputera z wykorzystaniem konta domenowego ale będąc nie podłączonym w danej chwili do domeny.
Numery zdarzeń, w których znajdziemy zdarzenia dotyczącego logowania to: 528, 540 (dla udanych logowań) oraz 529-537, 539 (dla nieudanych logowań).
Subskrybuj:
Komentarze do posta (Atom)
Brak komentarzy:
Prześlij komentarz