Вход входа в систему аутентификации контроллера домена Windows и судебная экспертиза
Этот вопрос не принимает Windows Server 2003 и более старые Ose во внимание.
Я знаю, что для локального входа в систему (идентификатор события 4624) также тип входа в систему зарегистрирован (интерактивный, удаленный, и т.д.). Существует ли способ, которым я могу отождествить тип входа в систему также с аутентификациями домена путем сбора только журналов контроллера домена? Т.е. могут события ID такой как 4 771 и 4768 быть сгенерированными обоими аутентификация пользователя на его рабочей станции (клавиатурой) и пользователь или сервис, проходящий проверку подлинности по сети и если так, быть там способом знать это от журнала (4771 или 4768)? Или всегда аутентификация по сети покрыта идентификатором события 4769, таким образом оставляя идентификаторы события 4771 и 4768 только для локальных аутентификаций?
Нет, 4624s предназначены не только для локальных входов в систему на рабочих станциях. Они также встречаются на контроллерах доменов. Те же правила применяются и к локальному входу в систему, и к входу в домен.
Хитрость в том, чтобы посмотреть на Тип входа в систему , указанный в событии 4624. Если событие говорит
Тип входа: 3
тогда вы знаете, что это был сетевой вход. Эти события происходят на контроллерах домена, когда пользователи (или компьютеры) входят в AD домен, поэтому да, сбор данных с контроллеров домена - это то, что вы хотите сделать.
-2: Интерактивный вход - это используется для входа в консоль на Компьютер. Вход типа 2 регистрируется, когда вы пытаетесь войти в систему на Локальная клавиатура и экран компьютера Windows.
-3: Вход в сеть - это... Вход в систему происходит при доступе к удаленным общим папкам с файлами или принтерам. Также, большинство входов в Internet Information Services (IIS) классифицируются как сетевые входы, за исключением входов в IIS, которые используют базовые протокол аутентификации (регистрируется как входящий тип 8).
-4: Пакетный вход - используется для запланированных задач. Когда Планировщик Windows служба запускает запланированную задачу, она сначала создает новый сеанс входа в систему для выполнения задания, чтобы оно могло работать в контексте безопасности учетная запись, которая была указана при создании задачи.
-5: Вход в службу - используется для служб и учетных записей служб, которые входят в систему > для запуска службы. Когда служба запускается, Windows сначала создает вход в систему. сессия для учетной записи пользователя, указанной в сервисе конфигурация.
-7: Разблокировка - эта функция используется всякий раз, когда вы разблокируете свой Машина для Windows.
-8: Сетевой текстовый вход в систему - используется, когда вы войдите в сеть и пароль будет отправлен открытым текстом. Этот случается, например, когда вы используете базовую аутентификацию, чтобы аутентифицироваться на сервере IIS.
-9: Новый вход, основанный на учетных данных - это используемый при запуске приложения с помощью команды RunAs и указывающий переключатель /неттонный. При запуске программы с RunAs, использующей /неттоннльно, программа начинается в новом сеансе входа в систему, который имеет тот же самый локальная идентификация (это идентификационные данные пользователя, которым вы являетесь в настоящее время войти в систему), но использует различные учетные данные (те, которые указаны в команда runas) для других сетевых подключений. Без /нетонли, Windows запускает программу на локальном компьютере и в сети в качестве пользователь, указанный в команде runas, и регистрирует событие входа в систему с помощью команды тип 2.
-10: Удаленный интерактивный вход - используется для RDP. такие приложения, как службы терминалов, удаленного рабочего стола или удаленного доступа Помощь.
-11: Кэшированный интерактивный вход - он записывается в журнал, когда пользователи войти в систему, используя кэшированные учетные данные, что, по сути, означает, что в отсутствие контроллера домена, вы все еще можете войти в свою локальную сеть. машина, использующая ваши учетные данные домена. Windows поддерживает вход с использованием кэшированные учетные данные для облегчения жизни мобильных пользователей и пользователей, которые часто отключается.