Этот вопрос не принимает во внимание Windows Server 2003 и более ранние ОС.
Я знаю, что для локального входа в систему (идентификатор события 4624) также регистрируется тип входа (интерактивный, удаленный и т. Д.). Есть ли способ определить тип входа в систему также с проверкой подлинности домена, собирая только журналы контроллера домена? То есть могут ли идентификаторы событий, такие как 4771 и 4768, быть сгенерированы как при аутентификации пользователя на его рабочей станции (с помощью клавиатуры), так и при аутентификации пользователя или службы по сети, и если да, то есть ли способ узнать это из журнала ( 4771 или 4768)? Или аутентификация по сети всегда покрывается идентификатором события 4769, поэтому идентификаторы событий 4771 и 4768 остаются только для локальной аутентификации?
Нет, 4624 предназначены не только для входа на локальную рабочую станцию. Они также возникают на контроллерах домена. Те же правила применяются как для локального входа, так и для входа в домен.
Хитрость в том, чтобы посмотреть на Logon Type перечислен в событии 4624. Если в событии говорится
Logon Type: 3
тогда вы знаете, что это был вход в сеть. Эти события происходят на контроллерах домена, когда пользователи (или компьютеры) входят в домен AD, так что да, сбор контроллеров домена - это то, что вы хотите сделать.
• 2: Интерактивный вход в систему - используется для входа в систему с консоли компьютера. Вход типа 2 регистрируется, когда вы пытаетесь войти в систему с локальной клавиатуры и экрана компьютера Windows.
• 3: Вход в сеть - этот вход в систему происходит при доступе к удаленным файловым ресурсам или принтерам. Кроме того, большинство входов в Internet Information Services (IIS) классифицируются как входы в сеть, за исключением входов в систему IIS, использующих базовый протокол проверки подлинности (они регистрируются как вход типа 8).
• 4: Пакетный вход в систему - используется для запланированных задач. Когда служба планировщика Windows запускает запланированную задачу, она сначала создает новый сеанс входа в систему для задачи, чтобы ее можно было запустить в контексте безопасности учетной записи, которая была указана при создании задачи.
• 5: Вход в службу - используется для служб и учетных записей служб, которые> входят в систему для запуска службы. При запуске службы Windows сначала создает сеанс входа в систему для учетной записи пользователя, указанной в конфигурации службы.
• 7: Разблокировать - используется всякий раз, когда вы разблокируете компьютер с Windows.
• 8: Сетевой вход в систему с открытым текстом - используется, когда вы входите в систему по сети, и пароль отправляется в виде открытого текста. Это происходит, например, когда вы используете базовую аутентификацию для аутентификации на сервере IIS.
• 9: Новый вход на основе учетных данных - используется, когда вы запускаете приложение с помощью команды RunAs и указываете переключатель / netonly. Когда вы запускаете программу с помощью RunAs, используя / netonly, программа запускается в новом сеансе входа в систему, который имеет тот же локальный идентификатор (это идентификатор пользователя, с которым вы сейчас вошли в систему), но использует другие учетные данные (те, которые указаны в команда runas) для других сетевых подключений. Без / netonly Windows запускает программу на локальном компьютере и в сети от имени пользователя, указанного в команде runas, и регистрирует событие входа в систему с типом 2.
• 10: Удаленный интерактивный вход в систему - используется для приложений на основе RDP, таких как службы терминалов, удаленный рабочий стол или удаленный помощник.
• 11: Кэшированный интерактивный вход в систему - это регистрируется, когда пользователи входят в систему с использованием кэшированных учетных данных, что в основном означает, что в отсутствие контроллера домена вы все равно можете входить на локальный компьютер, используя учетные данные домена. Windows поддерживает вход в систему с использованием кэшированных учетных данных, чтобы облегчить жизнь мобильных пользователей и пользователей, которые часто отключаются.