Блог Event Log Explorer
В описаниях некоторых событий журнала безопасности, связанных с сессиями входа в системы (например, 4624 и 4625) присутствует параметр Тип входа (Logon type), но его описание слишком короткое:
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
В статье https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx (Audit Logon Events) приводится более детальное описание этого параметра. Эта статья на сайте Microsoft описывает аудит событий входа для старых систем, до Windows Vista. Но константы Типа входа актуальны и для более новых операционных систем Windows.
Так что сейчас мы рассмотри описания от Microsoft и прокомментируем их.
Тип входа 2: Интерактивный. Пользователь непосредственно вошел на этот компьютер.
Событие с типом входа = 2 записывается в журнал безопасности когда пользователь вошел или попытался войти в систему непосредственно локально, используя клавиатуру и введя имя пользователя и пароль в окне входа в систему. Событие с типом входа = 2 возникает при использовании как локальной так и доменной учетной записи.
Если пользователь входит с доменной учетной записью, событие с типом входа = 2 появится если пользователь будет действительно аутентифицирован в домене (контроллером домена)
В случае, если контроллер домена недоступен, но пользователь предоставил валидный пароль, закэшированный в локальном компьютере, Windows поставит тип входа = 11.
Тип входа 3: Сетевой. Пользователь по сети подключился к этому компьютеру и авторизовался на нем.
Обычно такое событие появляется при подключении по сети к разделяемым (shared) ресурсам — папкам, файлам, принтерам. Подключение с типом входа = 3 может быть установлено и с локального компьютера.
Тип входа 4: Пакетный.
Этот тип входа используется при выполнении пакетных заданий без непосредственного участия пользователя. Например, когда запускается задание планировщика. Когда используется планировщик Windows и приходит время запустить задание, Windows может создать новую пользовательскую сессию, чтобы выполнить задание от имени пользователя. При этом регистрируются события (4648, 4624/4625).
Если запланированное задание сконфигурировано так, что не должно запускаться без интерактивного сеанса пользователя, то новая сессия не создается и события не регистрируются.
Тип входа 5: Служба. Service Control Manager запустил службу (service).
Такое событие возникает когда Windows запускает службу от имени пользователя. Windows создает новую сессию для запуска такой службы. Так происходит только, если служба использует обычную учетную запись. Если используется специальная учетная запись, например, “Local System”, “NT AUTHORITY\LocalService” или “NT AUTHORITY\NetworkService”, то Windows не создает новых сессий. Когда сервис остановится, новая сессия будет закрыта и будет зарегистрировано событие выхода (4634). Имейте ввиду, что описание события не содержит информации о запускаемом сервисе или процессе. Когда регистрируется событие Аудит отказа (4625) с типом входа = 5, это обычно означает что пароль учетной записи для запуска сервиса был изменен пользователем и следует обновить пераметры учетной записи для запуска службы в настройках того приложения, чья служба запускается.
Тип входа 7: разблокирование. Рабочая станция разблокирована.
Событие с типом входа = 7 происходит когда пользователь разблокировывает (или пытается это сделать) ранее заблокированный компьютер. Имейте ввиду, что когда пользователь разблокировывает компьютер, Windows создает новую сессию (или даже 2 сессии в зависимости от полномочий пользователя) и сразу же их завершает, после прохождения аутентификации (событие 4634).
При переключении между учетными записями уже осуществившими вход в систему с помощью функции быстрого переключения учетной записи (Fast User Switching), Windows создает событие 4624 с типом входа = 2 (интерактивный).
Когда регистрируется событие отказа 4625 с типом входа = 7, это обычно означает что вы ошиблись при вводе пароля или кто-то пытался подобрать пароль, чтобы разблокировать компьютер.
Тип входа 8: NetworkCleartext. Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.
Это событие возникает, если пароль пользователя был получен по сети открытым текстом. Такое событие может произойти когда пользователь входит в IIS (Internet Information Services) с базовым методом аутентификации.
Передача паролей в формате открытого текста опасна потому что пароли могут быть перехвачены и раскрыты. Если нет возможности использовать более надежную аутентификацию, то стоит хотя бы защитить сетевое соединение (используя зашифрованные протоколы типа SSL/TLS, создав защищенную виртуальную частную сеть и т.д.).
Тип входа 9: NewCredentials. Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений.
Это событие регистрируется, когда используется команда «Запустить от имени» вместе с опцией «/netonly». Это нужно для запуска программы с дополнительными привилегиями для сетевых компьютеров.
Например, нужно запустить Event Log Explorer и дать ему дополнительные права для некоторого компьютера или домена (это может понадобиться если вы захотите использовать определенный компьютер в качестве сервера описаний событий, но ваших текущих прав не достаточно для доступа к администраторским ресурсам этого сервера).
В таком случае вы можете запустить Event Log Explorer через командную строку со следующими параметрами:
runas.exe /netonly /user:SERVER\Administrator “c:\program files\event log explorer\elex.exe”
где SERVER — имя сервера, с которого предполагается брать описания событий (также потребуется настроить имя сервера в программе).
При запуске программы, Windows потребует ввести пароль пользователя Administrator для сервера SERVER.
Event Log Explorer запустится даже если вы введете неправильный пароль. При этом будет создана новая пользовательская сессия с учетными данными текущего пользователя и в журнал будет записано событие 4624 с типом входа = 9. А событие выхода из системы для этой сессии будет записано после того, как приложение будет завершено.
Также, в журнале безопасности сервера SERVER будут записаны события 4624 или 4625 с типом входа = 3, но только в момент обращения нашего приложения к разделяемым ресурсам сервера SERVER. То есть, когда Event Log Explorer попытается открыть файл описаний событий на сервере SERVER.
Тип входа 10: RemoteInteractive. Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.
Этот тип входа похож на 2 (интерактивный), но пользователь подключаетс к компьютеру с удаленного компьютера через RDP, используя Удаленный рабочий стол (Remote Desktop), сервисы терминального доступа (Terminal Services) или Удаленный помощник (Remote Assistance).
Тип входа 11: CachedInteractive. Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.
Когда пользователь входит в домен, Windows кэширует учетные данные пользователя локально, так что он позже может войти даже если контроллер домена будет недоступен. По умолчанию, Windows кэширует 10-25 последних использованных доменных учетных записей (это зависит от версии Windows). Когда пользователь пытается войти с доменной учетной записью, а контроллер домена не доступен, Windows проверяет учетные данные по сохраненным хэшам и регистрирует события 4624 или 4625 с типом входа = 11.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, нужно ли проводить аудит каждого экземпляра пользователя, который входит в систему или выходит из него с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События входа в учетную запись создаются на контроллерах домена для работы с учетной записью домена и на локальных устройствах для локальных действий с учетными записями. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа в систему, при входе в систему с учетной записью домена генерируется событие входа в систему или выхода из нее на компьютере или сервере, которое создает событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивный вход на рядовой сервер или рабочую станцию, использующую учетную запись домена, создает событие входа в систему на контроллере домена, так как сценарии входа и политики извлекаются при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях входа в учетную запись можно найти в статье Аудит событий входа в систему. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успехов приводит к созданию записи аудита при успешном попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит отказов приводит к созданию записи аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ . To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о параметрах политики безопасности для входа в систему можно найти в разделе Вход в систему и выход из нее на странице Дополнительные параметры политики аудита безопасности. For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратион\виндовс Сеттингс\секурити Сеттингс\локал ПолиЦиес\аудит. You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События входа Logon events | Описание Description |
|---|---|
| 528 528 | Пользователь успешно вошел в систему на компьютере. A user successfully logged on to a computer. Сведения о типе входа можно найти в таблице Типы входа ниже. For information about the type of logon, see the Logon Types table below. |
| 529 529 | Ошибка входа. Logon failure. Попытка входа была выполнена с неизвестным именем пользователя или известным именем пользователя с неправильным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 530 530 | Ошибка входа. Logon failure. Попытка входа учетной записи пользователя в систему за пределами допустимого времени. A logon attempt was made user account tried to log on outside of the allowed time. |
| 531 531 | Ошибка входа. Logon failure. Попытка входа была выполнена с помощью отключенной учетной записи. A logon attempt was made using a disabled account. |
| 532 532 | Ошибка входа. Logon failure. Попытка входа была выполнена с помощью просроченной учетной записи. A logon attempt was made using an expired account. |
| 533 533 | Ошибка входа. Logon failure. Попытка входа была предпринята пользователем, который не может войти на этот компьютер. A logon attempt was made by a user who is not allowed to log on at this computer. |
| 534 534 | Ошибка входа. Logon failure. Пользователь попытался войти в систему с недопустимым типом. The user attempted to log on with a type that is not allowed. |
| 535 535 | Ошибка входа. Logon failure. Срок действия пароля для указанной учетной записи истек. The password for the specified account has expired. |
| 536 536 | Ошибка входа. Logon failure. Служба сетевого входа в систему неактивна. The Net Logon service is not active. |
| 537 537 | Ошибка входа. Logon failure. Попытка входа завершилась сбоем по другим причинам. The logon attempt failed for other reasons. |
| 538 538 | Процесс выхода для пользователя завершен. The logoff process was completed for a user. |
| 539 539 | Ошибка входа. Logon failure. Учетная запись была заблокирована на момент, когда была выполнена попытка входа. The account was locked out at the time the logon attempt was made. |
| 540 540 | Пользователь успешно вошел в сеть. A user successfully logged on to a network. |
| 541 541 | Проверка подлинности IKE основного режима выполнена между локальным компьютером и указанным идентификатором однорангового узла (установление сопоставления безопасности), или быстрый режим установил канал данных. Main mode Internet Key Exchange (IKE) authentication was completed between the local computer and the listed peer identity (establishing a security association), or quick mode has established a data channel. |
| 542 542 | Канал данных прерван. A data channel was terminated. |
| 543 543 | Главный режим завершен. Main mode was terminated. |
| 544 544 | Не удалось выполнить проверку подлинности основного режима, так как узел не предоставил действительный сертификат или подпись не была проверена. Main mode authentication failed because the peer did not provide a valid certificate or the signature was not validated. |
| 545 545 | Не удалось выполнить проверку подлинности основного режима из-за сбоя Kerberos или недопустимого пароля. Main mode authentication failed because of a Kerberos failure or a password that is not valid. |
| 546 546 | Не удалось установить сопоставление безопасности IKE из-за того, что одноранговый элемент отправил недействительное предложение. IKE security association establishment failed because the peer sent a proposal that is not valid. Получен пакет, содержащий недопустимые данные. A packet was received that contained data that is not valid. |
| 547 547 | В ходе подтверждения IKE произошла ошибка. A failure occurred during an IKE handshake. |
| 548 548 | Ошибка входа. Logon failure. Идентификатор безопасности (SID) из доверенного домена не совпадает с SID домена учетной записи клиента. The security ID (SID) from a trusted domain does not match the account domain SID of the client. |
| 549 549 | Ошибка входа. Logon failure. Все идентификаторы безопасности, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах. All SIDs corresponding to untrusted namespaces were filtered out during an authentication across forests. |
| 550 550 | Сообщение с уведомлением о возможной атаке на службу. Notification message that could indicate a possible denial-of-service attack. |
| 551 551 | Пользователь инициировал процесс выхода из системы. A user initiated the logoff process. |
| 552 552 | Пользователь успешно вошел на компьютер с помощью явных учетных данных, но уже вошел в систему как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 682 682 | Пользователь повторно подключен к отключенному сеансу сервера терминалов. A user has reconnected to a disconnected terminal server session. |
| 683 683 | Пользователь отключил сеанс сервера терминалов, не выходя из системы. A user disconnected a terminal server session without logging off. |
Когда регистрируется событие 528, в журнале событий также указывается тип входа в систему. When event 528 is logged, a logon type is also listed in the event log. В таблице ниже описаны все типы входов. The following table describes each logon type.