что такое интерактивный вход в систему

Интерактивный вход в систему: текст сообщения для пользователей при входе в систему

Относится к:

Описывает лучшие практики, расположение, значения, управление и безопасность для интерактивного логотипа: текст сообщения для пользователей, пытающихся войти в параметр политики безопасности.

Справочники

Интерактивный логотип: текст сообщения для пользователей, пытающихся войти в систему, и интерактивный логотип: название сообщения для пользователей, пытающихся войти в параметры политики, тесно связаны между собой.

Интерактивный логотип. Текст сообщения для пользователей, пытающихся войти в систему, указывает текстовое сообщение, которое будет отображаться пользователям при входе в систему.

Интерактивный логотип: заголовок сообщения для пользователей, пытающихся войти в систему, указывает заголовок, который должен отображаться в панели заголовка окна с текстовым сообщением. Этот текст часто используется по юридическим причинам — например, для предупреждения пользователей о последствиях неправильного использования сведений о компании или для предупреждения о возможной проверке их действий.

Не использование этого параметра политики предупреждения и сообщений делает организацию юридически уязвимой для нарушителей, незаконно проникающих в вашу сеть. Юридические прецеденты установили, что организации, отображающие предупреждения пользователям, подключающихся к своим серверам через сеть, имеют более высокий уровень успешного преследования нарушителей.

При настройке этих параметров политики пользователи увидят диалоговое окно перед входом на консоль сервера.

Возможные значения

Возможные значения для этого параметра:

Рекомендации

Рекомендуется установить интерактивный логотип: текст сообщения для пользователей, пытающихся войти в систему, к значению, аналогичному одному из следующих:

Любое предупреждение, отображаемая в заголовке или тексте, должно быть утверждено представителями юридических и кадровых отделов организации.

Location

Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Управление политикой

В этом разделе описываются различные требования, которые помогут вам управлять этой политикой.

Необходимость перезапуска

Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Существует два параметра политики, которые относятся к отображениям logon:

В первом параметре политики указывается текстовое сообщение, отображаемое пользователям при входе в систему, а во втором параметре политики указывается заголовок для панели заголовка окна текстовых сообщений. Многие организации используют этот текст в юридических целях; например, предупредить пользователей о последствиях ненадлежащего использования сведений о компании или предупредить их о возможном аудите их действий.

Уязвимость

Пользователи часто не понимают важность методов безопасности. Однако отображение предупреждающего сообщения перед логотипом может помочь предотвратить атаку, предупредив злонамеренных или неведомых пользователей о последствиях их неправомерных действий до того, как это произойдет. Это также может помочь укрепить корпоративную политику, уведомив сотрудников о соответствующих политиках во время процесса логона.

Противодействие

Настройка интерактивного логотипа: текст сообщения для пользователей, пытающихся войти в систему, и интерактивный логотип: название сообщения для пользователей, пытающихся войти в параметры до соответствующего значения для вашей организации.

Возможное влияние

Пользователи видят сообщение в диалоговом окне перед входом на консоль сервера.

Источник

Блог Event Log Explorer

В описаниях некоторых событий журнала безопасности, связанных с сессиями входа в системы (например, 4624 и 4625) присутствует параметр Тип входа (Logon type), но его описание слишком короткое:

В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В статье https://technet.microsoft.com/en-us/library/cc787567(v=ws.10).aspx (Audit Logon Events) приводится более детальное описание этого параметра. Эта статья на сайте Microsoft описывает аудит событий входа для старых систем, до Windows Vista. Но константы Типа входа актуальны и для более новых операционных систем Windows.

Так что сейчас мы рассмотри описания от Microsoft и прокомментируем их.

Тип входа 2: Интерактивный. Пользователь непосредственно вошел на этот компьютер.

Событие с типом входа = 2 записывается в журнал безопасности когда пользователь вошел или попытался войти в систему непосредственно локально, используя клавиатуру и введя имя пользователя и пароль в окне входа в систему. Событие с типом входа = 2 возникает при использовании как локальной так и доменной учетной записи.
Если пользователь входит с доменной учетной записью, событие с типом входа = 2 появится если пользователь будет действительно аутентифицирован в домене (контроллером домена)
В случае, если контроллер домена недоступен, но пользователь предоставил валидный пароль, закэшированный в локальном компьютере, Windows поставит тип входа = 11.

Тип входа 3: Сетевой. Пользователь по сети подключился к этому компьютеру и авторизовался на нем.

Тип входа 4: Пакетный.

Этот тип входа используется при выполнении пакетных заданий без непосредственного участия пользователя. Например, когда запускается задание планировщика. Когда используется планировщик Windows и приходит время запустить задание, Windows может создать новую пользовательскую сессию, чтобы выполнить задание от имени пользователя. При этом регистрируются события (4648, 4624/4625).
Если запланированное задание сконфигурировано так, что не должно запускаться без интерактивного сеанса пользователя, то новая сессия не создается и события не регистрируются.

Тип входа 5: Служба. Service Control Manager запустил службу (service).

Такое событие возникает когда Windows запускает службу от имени пользователя. Windows создает новую сессию для запуска такой службы. Так происходит только, если служба использует обычную учетную запись. Если используется специальная учетная запись, например, “Local System”, “NT AUTHORITY\LocalService” или “NT AUTHORITY\NetworkService”, то Windows не создает новых сессий. Когда сервис остановится, новая сессия будет закрыта и будет зарегистрировано событие выхода (4634). Имейте ввиду, что описание события не содержит информации о запускаемом сервисе или процессе. Когда регистрируется событие Аудит отказа (4625) с типом входа = 5, это обычно означает что пароль учетной записи для запуска сервиса был изменен пользователем и следует обновить пераметры учетной записи для запуска службы в настройках того приложения, чья служба запускается.

Тип входа 7: разблокирование. Рабочая станция разблокирована.

Событие с типом входа = 7 происходит когда пользователь разблокировывает (или пытается это сделать) ранее заблокированный компьютер. Имейте ввиду, что когда пользователь разблокировывает компьютер, Windows создает новую сессию (или даже 2 сессии в зависимости от полномочий пользователя) и сразу же их завершает, после прохождения аутентификации (событие 4634).
При переключении между учетными записями уже осуществившими вход в систему с помощью функции быстрого переключения учетной записи (Fast User Switching), Windows создает событие 4624 с типом входа = 2 (интерактивный).
Когда регистрируется событие отказа 4625 с типом входа = 7, это обычно означает что вы ошиблись при вводе пароля или кто-то пытался подобрать пароль, чтобы разблокировать компьютер.

Тип входа 8: NetworkCleartext. Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.

Это событие возникает, если пароль пользователя был получен по сети открытым текстом. Такое событие может произойти когда пользователь входит в IIS (Internet Information Services) с базовым методом аутентификации.
Передача паролей в формате открытого текста опасна потому что пароли могут быть перехвачены и раскрыты. Если нет возможности использовать более надежную аутентификацию, то стоит хотя бы защитить сетевое соединение (используя зашифрованные протоколы типа SSL/TLS, создав защищенную виртуальную частную сеть и т.д.).

Тип входа 9: NewCredentials. Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений.

Тип входа 10: RemoteInteractive. Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.

Этот тип входа похож на 2 (интерактивный), но пользователь подключаетс к компьютеру с удаленного компьютера через RDP, используя Удаленный рабочий стол (Remote Desktop), сервисы терминального доступа (Terminal Services) или Удаленный помощник (Remote Assistance).

Тип входа 11: CachedInteractive. Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.

Когда пользователь входит в домен, Windows кэширует учетные данные пользователя локально, так что он позже может войти даже если контроллер домена будет недоступен. По умолчанию, Windows кэширует 10-25 последних использованных доменных учетных записей (это зависит от версии Windows). Когда пользователь пытается войти с доменной учетной записью, а контроллер домена не доступен, Windows проверяет учетные данные по сохраненным хэшам и регистрирует события 4624 или 4625 с типом входа = 11.

Источник

10 критически важных event ID для мониторинга

Рэнди Франклин Смит (CISA, SSCP, Security MVP) имеет в своем арсенале очень полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows. В этом документе изложена крайне полезная информация, которая позволит Вам “выжать” максимум из штатной системы аудита. Мы подготовили перевод этого материала. Заинтересованных приглашаем под кат.

О том, как настроить аудит, мы уже обстоятельно писали в одном из наших постов. Но из всех event id, которые встречаются в журналах событий, необходимо остановить свое внимание на нескольких критических важных. На каких именно – решать каждому. Однако Рэнди Франклин Смит предлагает сосредоточить внимание на 10 важных событиях безопасности в Windows.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

Источник

Запрещаем вход в систему для технических аккаунтов

В своей работе мне довольно часто приходится создавать учетные записи, предназначенные для каких либо технических задач (запуск скриптов, отправка почтовых уведомлений и т.п.). Поскольку эти учетные записи не предназначены для обычной работы, то, в целях безопасности, они не должны иметь возможность входа на сервер.

Запретить вход в систему для определенных учетных записей можно с помощью групповых политик. Для этого откроем оснастку управления групповыми политиками и создадим новый GPO.

Затем откроем созданный GPO для редактирования и перейдем в раздел Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Здесь нас интересуют два параметра:

Deny log on locally — запрет на локальный (интерактивный) вход в систему;
Deny log on through Remote Desktop Services — запрет на вход по RDP.

Для активации политики необходимо включить (define) ее и указать пользователей или группы, для которых необходимо запретить вход. Использовать группы более удобно, чем добавлять пользователей по одному, поэтому я создал группу DenyInteractiveLogon, которую и добавлю в данные политики.

В результате должна получиться такая картина.

Политика готова, надо проверить ее действие. Для этого в оснастке ADUC находим группу DenyInteractiveLogon, добавляем в нее специально созданную сервисную учетку service_user

и безуспешно пытаемся войти на компьютер под этим пользователем. При любой попытке входа (локально или по RDP) выдается сообщение об ошибке.

В заключение пара важных моментов, о которых надо помнить при использовании запретов:

• Политика предназначена для компьютеров, поэтому назначать ее надо на подразделения, в которых находятся компьютеры, а не пользователи. В принципе можно особо не заморачиваться и назначить политику на весь домен, все равно запрет будет действовать только на указанные в политике группы;
• Данная политика довольно опасна в неумелых руках. К примеру, если указать в ней группу Domain Users, то никто из доменных пользователей не сможет войти на свой компьютер, а если добавить группу Everyone, то запрет подействует на все без исключения учетные записи. Поэтому, выбирая объекты для запрета будьте внимательны, чтобы не запретить вход обычным пользователям;
• По возможности для технических целей старайтесь использовать управляемые учетные записи служб (managed service accounts), они более безопасны в использовании.

Источник

Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему

Относится к:

Описывает передовую практику, расположение, значения, управление политикой и соображения безопасности для логотипа Interactive: Message title для пользователей, пытающихся войти в параметр политики безопасности.

Справочники

Этот параметр безопасности позволяет указать заголовок, который отображается в панели заголовков окна, содержаной логотип Interactive: Message title дляпользователей, пытающихся войти в систему. Этот текст часто используется по юридическим причинам, например, чтобы предупредить пользователей о последствиях неправильного использования сведений о компании или предупредить их о возможной проверке их действий.

Интерактивный логотип: название сообщения для пользователей, пытающихся войти в систему, и интерактивный логотип: текст сообщения для пользователей, пытающихся войти в параметры политики, тесно связаны между собой. Интерактивный логотип. Название сообщения для пользователей, пытающихся войти в систему, указывает название сообщения, которое будет отображаться пользователям при входе в систему.

Не использование этого параметра политики предупреждения и сообщений делает организацию юридически уязвимой для нарушителей, незаконно проникающих в вашу сеть. Юридические прецеденты установили, что организации, отображающие предупреждения пользователям, подключающихся к своим серверам через сеть, имеют более высокий уровень успешного преследования нарушителей.

При настройке этих параметров политики пользователи увидят диалоговое окно перед входом на консоль сервера.

Возможные значения

Рекомендации

Рекомендуется установить интерактивный логотип: название сообщения для пользователей, пытающихся войти в систему, к значению, аналогичному следующему:

ВНИМАНИЕ. Эта система ограничена уполномоченными пользователями.

Установите логотип policy Interactive: текст сообщения для пользователей, пытающихся войти в систему, чтобы усилить значение заголовка сообщения.

Location

Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options

Значения по умолчанию

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.

Управление политикой

В этом разделе описываются функции и средства, доступные для управления этой политикой.

Необходимость перезапуска

Нет. Изменения в этой политике становятся эффективными без перезапуска устройства при локальном сбережении или распространении через групповую политику.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Существует два параметра политики, которые относятся к отображениям logon:

В первом параметре политики указывается текстовое сообщение, отображаемое пользователям при входе в систему, а во втором параметре политики указывается заголовок для панели заголовка окна текстовых сообщений. Многие организации используют этот текст в юридических целях; например, предупредить пользователей о последствиях ненадлежащего использования сведений о компании или предупредить их о возможном аудите их действий.

Уязвимость

Пользователи часто не понимают важность методов безопасности. Однако отображение предупреждающего сообщения с соответствующим заголовком перед логотипом может помочь предотвратить атаку, предупредив злонамеренных или недоведенных пользователей о последствиях их неправомерных действий перед ее началом. Это также может помочь укрепить корпоративную политику, уведомив сотрудников о соответствующих политиках во время процесса логона.

Противодействие

Настройка интерактивного логотипа: текст сообщения для пользователей, пытающихся войти в систему, и интерактивный логотип: название сообщения для пользователей, пытающихся войти в параметры до соответствующего значения для вашей организации.

Примечание: Любые предупреждающие сообщения, отображающие, должны быть утверждены юридическими и людскими ресурсами организации.

Возможное влияние

Пользователи видят сообщение в диалоговом окне перед входом на консоль сервера.

Источник