Logon e análise forense de autenticação do Windows Domain Controller

Question

Logon e análise forense de autenticação do Windows Domain Controller

#1 resposta do (3 votos)

3

Esta questão não leva em consideração o Windows Server 2003 e sistemas operacionais mais antigos.

Eu sei que para o logon local (evento ID 4624) também é registrado o tipo de logon (interativo, remoto, etc.). Existe uma maneira que eu possa identificar o tipo de logon também com autenticações de domínio, coletando apenas os logs do controlador de domínio? Ou seja, IDs de eventos como 4771 e 4768 podem ser gerados por uma autenticação de usuário em sua estação de trabalho (pelo teclado) e um usuário ou serviço autenticando pela rede e, em caso afirmativo, existe uma maneira de saber isso do log ( 4771 ou 4768)? Ou a autenticação pela rede sempre é coberta pelo ID de evento 4769, deixando os IDs de evento 4771 e 4768 apenas para autenticações locais?

windows logging

por treiman 14.04.2015 / 20:44

1 resposta

Tags windows logging

Como recuperar o backup do Symantec Backup Exec via Linux? Falha de isolamento de VLAN com o HP Procurve, Juniper Netscreen

score 3 · Accepted Answer

Não, os 4624s não são apenas para logons da estação de trabalho local. Eles também ocorrem em controladores de domínio. As mesmas regras se aplicam ao logon local e ao logon de domínio.

O truque é olhar para o Logon Type listado no evento 4624. Se o evento diz

Logon Type: 3

então você sabe que era um logon de rede. Esses eventos ocorrem em controladores de domínio quando os usuários (ou computadores) fazem logon no domínio do AD, portanto, sim, coletar os controladores de domínio é o que você deseja fazer.

•2: Interactive logon — This is used for a logon at the console of a computer. A type 2 logon is logged when you attempt to log on at a Windows computer’s local keyboard and screen.

•3: Network logon — This logon occurs when you access remote file shares or printers. Also, most logons to Internet Information Services (IIS) are classified as network logons, other than IIS logons that use the basic authentication protocol (those are logged as logon type 8).

•4: Batch logon — This is used for scheduled tasks. When the Windows Scheduler service starts a scheduled task, it first creates a new logon session for the task, so that it can run in the security context of the account that was specified when the task was created.

•5: Service logon — This is used for services and service accounts that log > on to start a service. When a service starts, Windows first creates a logon session for the user account that is specified in the service configuration.

•7: Unlock—This is used whenever you unlock your Windows machine.

•8: Network clear text logon—This is used when you log on over a network and the password is sent in clear text. This happens, for example, when you use basic authentication to authenticate to an IIS server.

•9: New credentials-based logon—This is used when you run an application using the RunAs command and specify the /netonly switch. When you start a program with RunAs using /netonly, the program starts in a new logon session that has the same local identity (this is the identity of the user you are currently logged on with), but uses different credentials (the ones specified in the runas command) for other network connections. Without /netonly, Windows runs the program on the local computer and on the network as the user specified in the runas command, and logs the logon event with type 2.

•10: Remote Interactive logon—This is used for RDP-based applications like Terminal Services, Remote Desktop or Remote Assistance.

•11: Cached Interactive logon—This is logged when users log on using cached credentials, which basically means that in the absence of a domain controller, you can still log on to your local machine using your domain credentials. Windows supports logon using cached credentials to ease the life of mobile users and users who are often disconnected.