حتما تا به حال در هنگام مرور گزارشات در Event Log، با گزارشات مربوط به انواع Logon مواجه شده اید. گزارش هایی که کد های مخصوص به خود را دارند و دانستن آنها ما را در برطرف کردن مشکلات مربوط به Logon و ارتباط با برخی سرویس ها و همچنین جلوگیری از ورود افراد خرابکار به سیستم یاری می کنند. در این مقاله قصد دارم انواع Logon را معرفی کرده و دلایل احتمالی بروز برخی از آنها را بررسی کنم. این اطلاعات ما را در درک بهتر طبیعت Logon Attempt ها یاری می کنند.لازم به ذکر است که در هنگام مشاهده گزارشات در Event Log، شناسه رویداد (Event ID) های 528 و 540 نشان دهنده یک Logon موفق و شناسه رویداد 538، نشان دهنده Logoff می باشد. بقیه شناسه رویدادهای مربوط به این زمینه، مشخص کننده Logon ناموفق می باشند.
(ورود به سیستم نوع 0: حساب کاربری سیستم)
این نوع Logon فقط توسط System Account انجام میشود. برای مثال برخی از سرویس ها برای انجام کارهای خود از System Account استفاده می کنند.
(ورود به سیستم نوع 2: تعاملی)
این نوع Logon زمانی است که شما پشت کامپیوتر مورد نظر نشسته اید و عمل وارد شدن به حساب کاربری را انجام می دهید. البته به این نوع Logon، Console Logon هم گفته می شود. این نوع Logon هم برای Local Account و هم برای Domain Account به حساب می آید. برای اینکه متوجه بشوید که Logon از چه نوعی بوده است، به دنبال اسم کامپیوتر یا شبکه در جلوی اسم کاربر (در توضیحات Event) بگردید. لازم به ذکر است که برخی Logon های مربوط به Terminal Server هم در این دسته قرار می گیرند.
(ورود به سیستم نوع 3: شبکه)
زمانی است که از طریق پروتکلی مثل SMB، به فایل ها و پرینترهای به اشتراک گذاشته شده دسترسی پیدا می کنید. مانند موقعی که فایلی را از کامپیوتر دیگری روی کامپیوتر خود کپی می کنید. البته لازم به ذکر است که برخی Logon های شبکه ای (over-the-network) و همچنین اکثر ارتباطات به IIS (ارتباطاتی به IIS که از نوع Basic Authentication نیستند) نیز در این دسته قرار می گیرند.
(ورود به سیستم نوع 4: دسته ای)
این نوع Logon برای کارهای برنامه ریزی شده (Scheduled Tasks) می باشد. مانند موقعی که شما نرم افزار Backup داخل ویندوز را برای اجراع در زمان های معین و با حساب کاربری معینی، برنامه ریزی می کنید. در حقیقت این نوع Logon اغلب برای Batch Server ها به کار می رود که در آنها، پردازش ها می توانند با حساب کاربری یک کاربر و بدون دخالت مستقیم آن کاربر، اجرا شوند. همچنین برای سرور هایی با کارایی بالا که تعداد زیادی احراز هویت های Clear-Text را پردازش می کنند (مانند Mail Server ها و Web Server ها)، این نوع Logon انجام میشود. همچنین کابران خرابکار از این Logon و از طریق Scheduled Tasks برای حدس زدن گذرواژه حساب کاربری (مانند حساب کاربری Administrator) استفاده می کنند.
(ورود به سیستم نوع 5: سرویس)
درست همانند Scheduled Task ها، سرویس ها نیز تحت یک حساب کاربری تعیین شده اجرا می شوند. این نوع Logon برای سرویس ها (Services) و حساب های کاربری که برای شروع سرویس ها به کار میروند (Service Accounts)، می باشد. اگر هنگام مشاهده Event Viewer، متوجه Logon نوع 5 نا موفق (Failed) شدید، معمولا به این خاطر است که گذرواژه حساب کاربری تغییر کرده است، ولی این تغییر هنوز روی سرویس اعمال نشده است. همچنین لازم به ذکر است که حساب کاربری مورد نظر می بایست امتیاز (Privilege) اجرا شدن به عنوان سرویس را دارا باشد.
(ورود به سیستم نوع 6: پراکسی)
زمانی که برای احراز هویت (Authentication) از یک سرور ردیف وسط و میانی (Middle-Tier) استفاده می شود، به این شیوه، احراز هویت Proxy یا Proxy Authentication گفته می شود. این نوع Logon مبوط به Proxy Server ها می باشد، زمانی که ارتباط شما از یک Proxy Server عبور کرده و احراز هویت می شود.
شما از طریق یکی از 3 روش زیر، می توانید یک سرور میانی امن برای کلاینت های Proxy خود آماده کنید:
• سرور میانی خود را با سرور پایگاه داده (Database Server) و با کلاینت، احراز هویت می کند (هویت خود را روی هر 2 تائید می کند). در این موقعیت، نرم افزار و یا کاربر نرم افزار، خود را از طریق سرور میانی احراز هویت می کند. تمامی اطلاعات مربوط به هویت کلاینت (نام کاربری، گذرواژه و ..) مابین کلاینت و پایگاه داده، تماما روی سرور میانی نگهداری می شود و از طریق سرور میانی به پایگاه داده منتقل می شود.
• کلاینت (که در اصل کاربر پایگاه داده است)، توسط سرور میانی احراز هویت نمی شود. هویت کلاینت و گذرواژه مربوط به پایگاه داده، از طریق سرور میانی برای احراز هویت به سرور پایگاه داده ارسال می شوند.
• کلاینت (که در این مورد، Global User است)، از طریق سرور میانی احراز هویت می شود، و اسم مختص خود (Distinguished Name) و یا گواهی نامه (Certificate) خود را ارای به دست آوردن نام کاربری کلاینت، از طریق سرور میانی ارسال می کند.
(ورود به سیستم نوع 7: باز کردن)
زمانی است که کامپیوتر شما قفل (Lock) شده است و شما مجددا گذرواژه خود را وارد می کنید تا به حسای کاربری خود وارد شوید. این قفل شدن کامپیوتر به دلایل امنیتی و برای جلوگیری از کاربران خرابکار به سیستم می باشد. به صورت پیش فرض زمانی که کامپیوتر خود را برای دقایقی ترک می کنید، کامپیوتر شما در حالت محافظ نمایشگر (Screen Saver) قرار می گیرد که برای خارج شدن از این حالت، نیاز به وارد کردن مجدد گذرواژه می باشد. زمانی که گذرواژه مجددا وارد شود، Logon نوع 7 در Event ها ثبت خواهد شد. Logon های نوع 7 ناموفق (Failed)، معمولا نشانگر اشتباه وارد کردن گذرواژه از سوی کاربر می باشند. گرچه میتوانند نشانگر تلاش کاربری خرابکار برای ورود به سیستم نیز باشند.
(ورود به سیستم نوع 8: متن قابل مشاهده از طریق شبکه)
زمانی است که شما در شبکه Logon می کنید و گذرواژه شما به صورت متن قابل مشاهده (Cleartext) ارسال می شود. این نوع Logon همانند نوع 3 است، با این تفاوت که گذرواژه به صورت متن قابل مشاهده (Cleartext) ارسال می شود. ارتباطی که Authentication آن به صورت Cleartext باشد، از طرف ویندوز سرور رد خواهد شد و Windows Server اجازه این چنین ارتباطی را نخواهد داد (زمانی که اطلاعات رمز نگاری (Encrypt) نشوند، اطلاعات به صورت متن قابل مشاهده (Clear Text) ارسال خواهند شد). نمونه این Logon زمانی است که شما از طریق Basic Authentication به IIS متصل شوید. Basic Authentication فقط زمانی خطرناک خواهد بود که ارباط شما از طریق (SSL (HTTPS، امن نشده باشد. به هر نحوی که این Logon اتفاق بیافتد، کلمه advapi در جلوی رخداد (Event) درج خواهد شد.
(ورود به سیستم نوع 9: اطلاعات کاربری جدید)
زمانی است که شما نرم افزاری را از طریق دستور RunAs و با Switch مربوط به netonly اجرا می کنید. با استفاده از netonly در جلوی RunAs، نرم افزار های روی کامپیوتر با همان حساب کاربری که Login کرده اید اجرا می شوند، ولی در هنگام ارتباط با کامپیوتر های دیگر از حساب کاربری که برای RunAs مشخص کرده اید اجرا می شوند. در حقیقت netonly فقط در هنگام ارتباط شبکه از حساب کاربری جلوی RunAs استفاده می کند و نه برای انجام کارهای درون همان کامپیوتر (Local). اگر از netonly استفاده نکنید، کامپیوتر برای انجام تمامی کارها از خساب کاربری که برای RunAs مشخص کرده اید، استفاده می کند که در این صورت، Logon از نوع 2 خواهد بود. نمونه ای از دستور RunAs به همراه netonly/ را در زیر مشاهده می کنید:
runas /netonly
(ورود به سیستم نوع 10: تعاملی از راه دور)
زمانی است که شما از نرم افزارهای تحت RDP مانند Terminal Services، Remote Assistance و یا Remote Desktop استفاده می کنید. این نکته را به خاطر داشته باشید ویندوز های قبل از Windows XP، از Logon نوع 10 استفاده نمی کنند و Logon های مربوط به Terminal Services از نوع 2 خواهند بود.
(ورود به سیستم نوع 11: تعاملی ذخیره شده)
ویندوز از قابلیتی به اسم Cached Logons برای سهولت کاربران سیار که از لپتاپ استفاده می کنند، پشتیبانی می کند.زمانی که به شبکه متصل نیستید و تلاش می کنید Logon کنید، هیچ Domain Controller موجود نیست که هویت شما را تائید کند. برای برطرف کردن این مشکل، ویندوز یک نسخه از 10 حساب کاربری آخری که روی کامپیوتر تحت دامین Logon کرده اند را نگه میدارد. بعدا زمانی که Domain Controller موجود نیست، ویندوز از این حساب های کاربری برای تائید هویت شما برای ورود به کامپیوتر (با حساب کاربری تحت دامین) استفاده می کند. اگر Domain Controller در هنگام Logon موجود نباشد، در صورتی که قابلیت Cached Logons وجود نداشته باشد، شما قادر به وارد شدن به کامپیوتر نخواهید بود. این نوع Logon زمانی است که شما با حساب کاربری از پیش ذخیره شده (Cached)، وارد حساب کاربری خود می شوید. (لازم به ذکر است که حساب های کاربری Cache شده روی خود کامپیوتر نگه داشته می شوند و نه روی سرور)
(ورود به سیستم نوع 12: تعاملی ذخیره شده از راه دور)
این نوع Logon، مانند Logon نوع 10 (Remote Interactive) است. زمانی که ارتباط Terminal Service، Remote Desktop، Remote Assistance و ... شما به هر دلیلی قطع شده است و یا خوذ شما ارتباط را قطع نموده اید. شما مجددا گذرواژه خود را برای وارد شدن به کامپیوتر، وارد میکنید. این بار برای احراز هویت شما، ارتباطی با سرور برقرار نمی شود، زیرا از حساب کاربری Cache شده استفاده خواهد شد. (این نوع ورود به سیستم معمولا به صورت درون شبکه ای و داخلی و با هدف بررسی انجام می شود.)
(ورود به سیستم نوع 13: بازکردن ذخیره شده)
مانند Logon نوع 7 می باشد. ولی این بار از حساب کاربری Cache شده استفاده خواهد شد. به این صورت که شما یک بار کامپیوتر خود را Unlock کرده اید، سپس برای مدتی کامپیوتر را رها می کنید و کامپیوتر مجددا Lock می شود. دفعه بعدی که شما اقدام به Unlock کردن می کنید، این نوع Logon در Event Log ثبت خواهد شد.
متخصص سرویس های مایکروسافت
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود