로그인 계정 권한 및 방식 확인 방법
[Explanation]
DC서버를 비롯하여 서버에 로그인을 할 때 어느 계정이 어떠한 목적으로 서버에 접속하였는지 확인하기 애매할 때가 있어서 관련 정보를 공유드립니다.
기본적으로 DC서버에 인증 혹은 로그인을 하면 Microsoft Windows security auditing.에 이벤트가 로깅이 되는데요, Domain Admin 혹은 그에 준하는 권한을 부여 받은 사용자인지 아닌지, 접속한 방식이 무엇인지 이벤트(Event ID 4624, 4672)를 통해서 확인이 가능합니다.
- EventId 4624\Logon Type : 접속 방법(참고자료)
|
Logon Type
|
Description
|
|
2
|
Interactive (logon at keyboard and screen of system)
|
|
3
|
Network (i.e. connection to shared folder on this computer from elsewhere on network)
|
|
4
|
Batch (i.e. scheduled task)
|
|
5
|
Service (Service startup)
|
|
7
|
Unlock (i.e. unnattended workstation with password protected screen saver)
|
|
8
|
NetworkCleartext
(Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication")
|
|
9
|
NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events.
|
|
10
|
RemoteInteractive
(Terminal Services, Remote Desktop or Remote Assistance)
|
|
11
|
CachedInteractive
(logon with cached domain credentials such as when logging on to a laptop when away from the network)
|
- EventId 4624\Detailed Authentication Information > Logon Process : 사용자가 원격 혹은 원격툴을 통해서 로그인한 경우(User32/Negotiate), 인증을 통해서 로그인 이력이 남은경우(Kerberos 등)
- EventId 4672\Special Logon : 특정 서버에 권한이 있는 사용자가 로그인 한 경우에만 그 대상으로 로깅됨.( This event lets you know whenever an account assigned any "administrator equivalent" user rights logs on.)
[예시] Domain Admin으로 원격툴을 통해서 접속한 경우
Logon Type(10), Logon Process(User32/Negotiate), Special Logon 이벤트(O)
Logon Type(3), Logon Process(Kerberos), Special Logon 이벤트(X)
참고 자료는 아래와 같습니다.
♔♔♔♔♔♔♔♔♔♔
댓글이나 의견은 언제든지 환영합니다.
Your Comments are Always Welcome!
0 comments:
Post a Comment