Тип входа 5 в журнал Windows
Обновлено: 21.11.2024
Идентификаторы событий 528 и 540 означают успешный вход в систему, событие с идентификатором 538 — выход из системы, а все остальные события в этой категории определяют разные причины неудачного входа в систему. Однако простое знание об успешной или неудачной попытке входа в систему не дает полной картины. Из-за всех услуг, предлагаемых Windows, существует множество различных способов входа в систему на компьютере, например, в интерактивном режиме с локальной клавиатуры и экрана компьютера, по сети через сопоставление дисков или через службы терминалов (также известные как удаленный рабочий стол) или через IIS. К счастью, события входа/выхода из системы указывают код типа входа, который показывает тип входа, вызвавшего событие.
Мы также собрали все коды типов входа и их пояснения в одностраничную памятку, которую вы можете использовать в качестве краткого справочника. Загрузите его отсюда.
Тип входа 2 — интерактивный
Это первое, что приходит вам в голову, когда вы думаете о входе в систему, то есть о входе в систему с консоли компьютера. Вы увидите входы типа 2, когда пользователь попытается войти в систему с локальной клавиатуры и экрана, будь то с учетной записью домена или локальной учетной записью из локального SAM компьютера. Чтобы определить разницу между попыткой входа в систему с локальной или доменной учетной записью, найдите имя домена или компьютера перед именем пользователя в описании события. Не забывайте, что вход в систему через компонент KVM over IP или запатентованную серверную функцию удаленного KVM с отключением света по-прежнему является интерактивным входом в систему с точки зрения Windows и будет зарегистрирован как таковой.
Тип входа 3 — Сеть
В большинстве случаев Windows регистрирует вход в систему типа 3, когда вы получаете доступ к компьютеру из другого места в сети. Одним из наиболее распространенных источников событий входа в систему с типом входа 3 являются подключения к общим папкам или принтерам. Но другие входы в сеть по сети классифицируются как вход типа 3, например, большинство входов в IIS. (Исключением является обычная проверка подлинности, которая описана ниже в разделе «Тип входа 8».)
Тип входа 4 – пакетный
Когда Windows выполняет запланированное задание, служба запланированного задания сначала создает новый сеанс входа в систему для задания, чтобы оно могло выполняться с правами учетной записи пользователя, указанной при создании задания. Когда происходит эта попытка входа в систему, Windows регистрирует ее как тип входа 4. Другие системы планирования заданий, в зависимости от их конструкции, также могут генерировать события входа в систему с типом входа 4 при запуске заданий. События входа в систему типа 4 обычно представляют собой просто невинные запуски запланированных задач, но злоумышленник может попытаться подорвать безопасность, пытаясь угадать пароль учетной записи с помощью запланированных задач. Такие попытки будут генерировать событие сбоя входа в систему, где тип входа равен 4. Но сбои входа в систему, связанные с запланированными задачами, также могут быть вызваны тем, что администратор вводит неправильный пароль для учетной записи во время создания задачи или из-за изменения пароля учетной записи без изменение запланированного задания для использования нового пароля.
Тип входа 5 — Служба
Как и в случае с запланированными задачами, каждая служба настраивается для запуска от имени указанной учетной записи пользователя. Когда служба запускается, Windows сначала создает сеанс входа в систему для указанной учетной записи пользователя, что приводит к событию входа/выхода из системы с типом входа 5. События неудачного входа в систему с типом входа 5 обычно указывают на то, что пароль учетной записи был изменен без обновления службы. но всегда есть вероятность того, что на работе будут злонамеренные пользователи. Однако это маловероятно, поскольку для создания новой службы или редактирования существующей службы по умолчанию требуется членство в группе администраторов или операторов сервера, и такой пользователь, если он злонамеренный, скорее всего, уже имеет достаточно полномочий для достижения желаемой цели.
Тип входа 7 — разблокировать
Мы надеемся, что рабочие станции в вашей сети автоматически запускают защищенную паролем экранную заставку, когда пользователь покидает свой компьютер, чтобы защитить оставленные без присмотра рабочие станции от злонамеренного использования. Когда пользователь возвращается на свою рабочую станцию и разблокирует консоль, Windows рассматривает это как вход в систему и регистрирует соответствующее событие входа/выхода из системы, но в этом случае тип входа будет 7, что определяет событие как попытку разблокировки рабочей станции. Неудачные попытки входа в систему с типом входа 7 указывают либо на то, что пользователь вводит неправильный пароль, либо на злоумышленника, пытающегося разблокировать компьютер, угадывая пароль.
Тип входа 8 — NetworkCleartext
Тип входа 9 — Новые учетные данные
Если вы используете команду RunAs для запуска программы под другой учетной записью пользователя и указываете параметр /netonly, Windows записывает событие входа/выхода из системы с типом входа 9. выполняется на вашем локальном компьютере от имени пользователя, под которым вы вошли в систему, но для любых подключений к другим компьютерам в сети Windows подключает вас к этим компьютерам с использованием учетной записи, указанной в команде RunAs.Без /neonly Windows запускает программу на локальном компьютере и в сети от имени указанного пользователя и записывает событие входа в систему с типом входа 2.
Тип входа 10 — RemoteInteractive
Когда вы получаете доступ к компьютеру через службы терминалов, удаленный рабочий стол или окна удаленного помощника, регистрируется попытка входа в систему с типом входа 10, что позволяет легко отличить настоящий вход с консоли от сеанса удаленного рабочего стола. Однако обратите внимание, что до XP в Windows 2000 не использовался тип входа 10, а входы в службы терминалов регистрировались как вход типа 2.
Тип входа 11 — CachedInteractive
Windows поддерживает функцию кэширования входа в систему, которая упрощает работу мобильных пользователей. Когда вы не подключены к сети вашей организации и пытаетесь войти на свой ноутбук с учетной записью домена, для ноутбука нет доступного контроллера домена, с помощью которого можно подтвердить вашу личность. Чтобы решить эту проблему, Windows кэширует хэш учетных данных последних 10 интерактивных входов в домен. Позже, когда контроллер домена недоступен, Windows использует эти хэши для проверки вашей личности при попытке входа в систему с учетной записью домена.
Заключение
Я надеюсь, что это обсуждение типов входа в систему и их значений поможет вам следить за своей сетью Windows и пытаться собрать воедино различные способы доступа пользователей к вашим компьютерам. Важно обращать внимание на тип входа, поскольку различные типы входа могут повлиять на то, как вы интерпретируете события входа в систему с точки зрения безопасности. Например, неудачный вход в сеть на сервере теперь может вызывать удивление, поскольку пользователи должны постоянно получать доступ к серверам по сети. Но неудачная попытка входа в сеть в журнале безопасности рабочей станции отличается. Почему кто-то пытается получить доступ к чужой рабочей станции через сеть? Как видите, стоит разобраться в журнале безопасности.
Если вы хотите сохранить или распечатать эти пояснения к коду входа в систему для последующего использования в красиво отформатированном шпаргалке, вы можете скачать его отсюда.
Определяет, следует ли проводить аудит каждого входа пользователя на устройство или выхода из него.
События входа в учетную запись генерируются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Если включены категории политик входа в систему и аудита входа в систему, входы с использованием учетной записи домена генерируют событие входа или выхода из системы на рабочей станции или сервере, а также событие входа в систему учетной записи на контроллере домена. Кроме того, интерактивный вход на рядовой сервер или рабочую станцию, использующие учетную запись домена, создает событие входа в систему на контроллере домена, поскольку сценарии и политики входа извлекаются при входе пользователя в систему. Дополнительные сведения о событиях входа в учетную запись см. в разделе Аудит событий входа в учетную запись.
Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успешных событий, аудит неудач или вообще не проводить аудит типа события. Аудит успеха создает запись аудита при успешной попытке входа в систему. Аудит отказов создает запись аудита при неудачной попытке входа в систему.
Чтобы задать для этого параметра значение "Без аудита", в диалоговом окне "Свойства" для этого параметра политики установите флажок "Определить эти параметры политики" и снимите флажки "Успех" и "Неудача".
Сведения о дополнительных параметрах политики безопасности для событий входа в систему см. в разделе «Вход/выход» в дополнительных параметрах политики аудита безопасности.
Настроить этот параметр аудита
Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита.
| События входа | Описание |
|---|---|
| 4624 | Пользователь успешно вошел в систему на компьютере. Информацию о типе входа см. в таблице «Типы входа» ниже. |
| 4625 | Ошибка входа. Была предпринята попытка входа в систему с неизвестным именем пользователя или известным именем пользователя с неверным паролем. |
| 4634 | Процесс выхода пользователя завершен . |
| 4647 | Пользователь инициировал процесс выхода из системы. |
| 4648 | < td>Пользователь успешно вошел в систему на компьютере, используя явные учетные данные, хотя уже вошел в систему как другой пользователь.|
| 4779 | Пользователь отключил терминальный сервер сеанс без выхода из системы. |
При регистрации события 4624 (устаревший код события Windows 528) в журнале событий также указывается тип входа. В следующей таблице описаны все типы входа в систему.
В своем предыдущем посте я объяснил, как отображать тип входа в систему для событий входа в систему в журнале безопасности, и описал значение некоторых значений. Здесь я дам вам больше информации о типах входа в систему.
Описания некоторых событий (4624, 4625) в журнале безопасности обычно содержат некоторую информацию о «типе входа», но она слишком краткая:
Поле типа входа в систему указывает тип входа в систему.Наиболее распространенными типами являются 2 (интерактивный) и 3 (сетевой).
Поэтому я скопирую сюда описания Microsoft и добавлю свои комментарии.
Тип входа 2: интерактивный. Пользователь вошел в систему на этом компьютере.
Событие с типом входа = 2 возникает каждый раз, когда пользователь входит в систему (или пытается войти) на локальном компьютере, например. путем ввода имени пользователя и пароля в строке входа в систему Windows. События с типом входа = 2 происходят, когда пользователь входит в систему с локальной учетной записью или учетной записью домена. Однако если пользователь входит в систему с учетной записью домена, этот тип входа будет отображаться только в том случае, если пользователь действительно прошел проверку подлинности в домене (с помощью контроллера домена). В случае, если контроллер домена недоступен, но пользователь предоставил действительные учетные данные домена, кэшированные на локальном ПК, Windows зарегистрирует событие с типом входа = 11.
Тип входа 3: Сеть. Пользователь или компьютер вошел на этот компьютер из сети.
В описании этого типа входа четко указано, что событие регистрируется, когда кто-то получает доступ к компьютеру из сети. Обычно появляется при подключении к общим ресурсам (общим папкам, принтерам и т.п.). Как мы узнали из предыдущего поста, соединение с типом входа = 3 можно было установить даже с локального компьютера.
Тип входа 4: пакетный. Пакетный тип входа используется пакетными серверами, где процессы могут выполняться от имени пользователя без его прямого вмешательства.
Событие этого типа появляется перед запуском запланированной задачи. Например. если вы используете планировщик заданий Windows и пришло время запустить задачу, Windows может создать новый сеанс входа в систему для выполнения этой задачи и зарегистрировать события входа в систему (4648, 4624/4625). Если выполнение задачи запланировано только при входе в систему «назначенного» пользователя, новый сеанс входа не будет открыт, а события входа в систему не будут регистрироваться.
Тип входа 5: Служба. Служба была запущена диспетчером управления службами.
Когда Windows запускает службу, настроенную для входа в качестве пользователя, Windows создает новый сеанс входа для этой службы. Это происходит только в том случае, если сервис использует «общую» учетную запись пользователя. Если он использует специальные учетные записи, например. «Локальная система», «NT AUTHORITY\LocalService» или «NT AUTHORITY\NetworkService», Windows не будет создавать новые сеансы входа в систему. Открытый сеанс входа в систему будет закрыт, когда служба остановится и будет зарегистрировано событие выхода из системы (4634).
Обратите внимание, что описание события не содержит никакой информации об имени службы, информация о процессе содержит только имя диспетчера управления службами (services.exe). Когда регистрируется событие аудита ошибки входа (4625) с типом входа = 5, это обычно означает, что «назначенный» пользователь изменил пароль, и вам следует обновить данные для входа в службу.
Тип входа 7: Разблокировать. Эта рабочая станция была разблокирована.
Событие с типом входа = 7 происходит, когда пользователь разблокирует (или пытается разблокировать) ранее заблокированную рабочую станцию. Обратите внимание, что когда пользователь разблокирует компьютер, Windows создает новый сеанс входа в систему (или 2 сеанса входа в систему в зависимости от условий повышения прав) и немедленно закрывает его (с событием 4634). Когда вы переключаетесь между зарегистрированными учетными записями пользователей с помощью функции быстрого переключения пользователей, вы можете подумать, что такое переключение генерирует событие 4624 с типом входа = 7, потому что это выглядит так, как будто вы блокируете и разблокируете рабочую станцию. Однако Windows генерирует события 4624 с типом входа = 2 (интерактивный). Когда регистрируется событие Audit Failure (4625) при входе в систему с типом входа = 7, это обычно означает, что либо вы допустили опечатку при вводе пароля, либо кто-то пытается взломать компьютер.
Тип входа 8: NetworkCleartext. Пользователь вошел на этот компьютер из сети. Пароль пользователя был передан в пакет проверки подлинности в нехэшированном виде. Встроенная проверка подлинности упаковывает все хэш-учетные данные перед их отправкой по сети. Учетные данные не передаются по сети в открытом виде (также называемом открытым текстом).
Я считаю, что вы никогда не должны видеть события входа в систему с типом входа = 8. Это событие генерируется, когда пароль приходит из сети в виде открытого текста. Такие события могут возникать, когда пользователь входит в IIS (информационные службы Интернета) с помощью основного метода проверки подлинности доступа. Передача паролей в текстовом формате опасна, потому что пароли могут быть перехвачены и раскрыты. Поэтому, если обычная проверка подлинности является для вас единственным вариантом, вам следует защитить сетевое соединение (используя протоколы шифрования, такие как SSL/TLS, создавая виртуальную частную сеть и т. д.).
Тип входа 9: NewCredentials. Вызывающий клонировал свой текущий токен и указал новые учетные данные для исходящих подключений. Новый сеанс входа имеет тот же локальный идентификатор, но использует другие учетные данные для других сетевых подключений.
Это событие возникает при использовании команды RunAs с параметром /netonly. Допустим, вам нужно запустить программу, но предоставить ей дополнительные права доступа к сетевым компьютерам. Например.вы можете запустить Event Log Explorer и дать ему дополнительные разрешения для определенного компьютера или домена (это может быть полезно, например, если вы хотите использовать определенный компьютер в качестве сервера описания в Event Log Explorer, но ваших текущих разрешений недостаточно для доступа к административным ресурсам с этого сервера). В этом случае вы можете запустить обозреватель журнала событий в обычном режиме (используя свои текущие учетные данные), но указать специальные учетные данные для сетевых подключений. Допустим, имя вашего компьютера — «WORK», а имя сервера описаний — «SERVER». На рабочем компьютере вы вводите:
runas.exe /netonly /user:server\Administrator "c:\program files\event log explorer\elex.exe"
и введите пароль администратора при появлении запроса.
При этом будет запущен обозреватель журнала событий, даже если вы ввели неверный пароль. Это происходит потому, что для запуска программы используются клонированные текущие учетные данные (будет открыт новый сеанс входа в систему). И событие входа в систему 4624 будет зарегистрировано с типом входа = 9 (событие выхода из системы будет зарегистрировано при выходе из приложения). А как же СЕРВЕР? Сервер зарегистрирует события 4624 или 4625 в журнале безопасности с типом входа = 3, но только тогда, когда приложение с РАБОЧЕГО компьютера попытается получить доступ к общему ресурсу на сервере, например. Обозреватель журнала событий попытается открыть файл ресурсов с описаниями событий.
Тип входа 10: RemoteInteractive. Пользователь вошел на этот компьютер удаленно с помощью служб терминалов или удаленного рабочего стола.
Этот тип входа похож на 2 (интерактивный), но пользователь подключается к компьютеру с удаленного компьютера через RDP (используя удаленный рабочий стол, службы терминалов или удаленный помощник).
Тип входа 11: CachedInteractive. Пользователь вошел на этот компьютер с сетевыми учетными данными, которые были сохранены локально на компьютере. С контроллером домена не связывались для проверки учетных данных.
Когда пользователи входят в домен, Windows локально кэширует учетные данные пользователей, чтобы они могли войти в систему позже, даже если сервер входа (контроллер домена) недоступен. По умолчанию Windows кэширует 10 или 25 учетных данных последнего входа в систему (это зависит от операционной системы и может быть увеличено до 50). Когда пользователь пытается войти в систему с учетной записью домена, когда контроллер домена недоступен, Windows проверяет учетные данные пользователя с помощью этих сохраненных хэшей и регистрирует события безопасности 4624 или 4625 с типом входа = 11.
Событие с идентификатором 4624 (просматриваемое в средстве просмотра событий Windows) документирует каждую успешную попытку входа на локальный компьютер. Это событие генерируется на компьютере, к которому осуществлялся доступ, другими словами, на котором был создан сеанс входа в систему. Связанное событие, идентификатор события 4625, документирует неудачные попытки входа в систему.
Событие 4624 относится к следующим операционным системам: Windows Server 2008 R2 и Windows 7, Windows Server 2012 R2 и Windows 8.1, а также Windows Server 2016 и Windows 10. Соответствующие события в Windows Server 2003 и более ранних версиях включали как 528, так и 540 для успешный вход в систему.
Идентификатор события 4624 выглядит немного по-разному в Windows Server 2008, 2012 и 2016. На снимках экрана ниже выделены важные поля в каждой из этих версий.
Событие 4624 (Windows 2008)
Событие 4624 (Windows 2012)
Событие 4624 (Windows 2016)
Описание полей событий
Важная информация, которую можно получить из события 4624, включает:
Происходит, когда пользователь входит в систему, используя локальную клавиатуру и экран компьютера.
Происходит, когда пользователь получает доступ к удаленным общим папкам или принтерам. Кроме того, большинство входов в Internet Information Services (IIS) классифицируются как входы в сеть (за исключением входов в IIS, которые регистрируются как тип входа 8).
Происходит во время выполнения запланированных задач, т. е. когда служба планировщика Windows запускает запланированную задачу.
Происходит, когда службы и учетные записи служб входят в систему для запуска службы.
Происходит, когда пользователь разблокирует свой компьютер с Windows.
Происходит, когда пользователь входит в систему по сети и пароль отправляется в виде открытого текста. Чаще всего указывает на вход в IIS с использованием «базовой аутентификации».
Происходит, когда пользователь запускает приложение с помощью команды RunAs и указывает переключатель /netonly.
Происходит, когда пользователь входит в систему на своем компьютере с помощью приложений на основе RDP, таких как службы терминалов, удаленный рабочий стол или удаленный помощник.
Происходит, когда пользователь входит в систему на своем компьютере, используя сетевые учетные данные, которые были сохранены локально на компьютере (т. е. контроллер домена не обращался для проверки учетных данных).
Другая информация, которую можно получить из события 4624:
- • В разделе "Тема" указана учетная запись в локальной системе (не пользователь), которая запросила вход.
- • Раздел «Уровень олицетворения» показывает, в какой степени процесс в сеансе входа может олицетворять клиента. Уровни олицетворения определяют операции, которые сервер может выполнять в контексте клиента.
- • В разделе "Информация о процессе" содержится подробная информация о процессе, предпринявшем попытку входа в систему.
- • В разделе «Информация о сети» показано, где находился пользователь, когда он вошел в систему. Если вход был инициирован с того же компьютера, эта информация будет либо пустой, либо будет отражать имя рабочей станции локального компьютера и исходный сетевой адрес.
- • Информация об аутентификации показывает информацию о пакете аутентификации, используемом для входа в систему.
Причины отслеживания успешных входов в систему
Безопасность
Чтобы предотвратить злоупотребление привилегиями, организации должны внимательно следить за тем, какие действия выполняют привилегированные пользователи, начиная с входа в систему.
Для обнаружения аномальных и потенциально вредоносных действий, таких как вход из неактивной или ограниченной учетной записи, вход пользователей в нерабочее время, одновременный вход на множество ресурсов и т. д.
Работает
Для получения информации о действиях пользователей, таких как посещаемость пользователей, пиковое время входа в систему и т. д.
Соответствие
Для соблюдения нормативных требований необходима точная информация об успешных входах в систему.
Необходимость стороннего инструмента
В типичной ИТ-среде количество событий с идентификатором 4624 (успешных входов в систему) может исчисляться тысячами в день. Однако все эти успешные входы в систему не важны; даже важные события бесполезны сами по себе, без какой-либо связи с другими событиями.
Например, хотя событие 4624 генерируется при входе учетной записи в систему, а событие 4647 — при выходе из учетной записи, ни одно из этих событий не раскрывает продолжительность сеанса входа. Чтобы определить продолжительность входа в систему, необходимо сопоставить событие 4624 с соответствующим событием 4647, используя идентификатор входа в систему.
Поэтому необходимо провести анализ событий и корреляцию. Собственные инструменты и сценарии PowerShell требуют опыта и времени при использовании с этой целью, поэтому сторонний инструмент действительно незаменим.
Применяя машинное обучение, ADAudit Plus создает базовые стандартные действия, характерные для каждого пользователя, и уведомляет сотрудников службы безопасности только в случае отклонения от этой нормы.
Например, пользователь, который постоянно обращается к критически важному серверу в нерабочее время, не вызовет ложного срабатывания, поскольку такое поведение типично для этого пользователя. С другой стороны, ADAudit Plus мгновенно оповещает службы безопасности, когда тот же пользователь получает доступ к этому серверу в то время, когда они никогда не обращались к нему раньше, даже если доступ приходится на рабочее время.
Если вы хотите самостоятельно изучить продукт, загрузите бесплатную полнофункциональную 30-дневную пробную версию.
Если вы хотите, чтобы эксперт провел для вас индивидуальную экскурсию по продукту, запланируйте демонстрацию.
Читайте также: