Windows Logon Type Codes

Event ID 4624 (früher auch 528 und 540) mit Source: Microsoft Windows security und Task Category: Logon protokollieren eine erfolgreiche Anmeldung, Event ID 4634 (früher auch 538) mit Source: Microsoft Windows security und Task Category: Logoff eine Abmeldung. Alle anderen Event IDs in der Kategorie Logon/Logoff dokumentieren verschiedene Gründe für Anmeldefehler, bzw. nicht erfolgreiche Anmeldungen. Für Fehleranalysen und Sicherheitsaudits reicht es jedoch oftmals nicht aus nur zu wissen, ob eine Anmeldung erfolgreich oder erfolglos war, sondern auch wie sich ein User angemeldet hat. Dazu werden im jeweiligen Event auch Logon Types angegeben, die es ermöglichen, Aufschluss über die Art der Anmeldung zu geben.

Logon Type 2: Interactive

Logon Type 2 ist das typische „Anmelde-Event“, wenn man aus Benutzersicht an Anmeldung denkt, also eine Anmeldung an einem Windows System über die lokale Tastatur/Maus und zwar mit einem Domain-User oder einem User von der lokalen SAM des Systems. Auch Anmeldungen über z.B. eine IPMI Remote Konsole oder sonstige KVM-over-IP Komponenten sind aus Sicht von Windows interaktive Anmeldungen, obwohl aus Sicht des Admins über das Netzwerk auf das System zugegriffen wird.

Logon Type 3: Network

Windows protokolliert Logon Type 3 meist dann, wenn auf ein System von woanders über das Netzwerk zugegriffen wird. Eine der häufigsten Ereignisse, die Events mit Logon Type 3 erzeugen, sind Verbindungen zu Netzlaufwerken oder Netzwerkdruckern. Aber auch z.B. Logons an einem IIS Webserver gehören zu Logon Type 3 (Ausnahme: Basic Authentication – siehe Logon Type 8).

Logon Type 4: Batch

Wenn Windows einen Scheduled Task startet, erstellt der Service Task Scheduler zunächst eine neue Anmelde-Session für den Task, sodass dieser dann im Kontext des im Task hinterlegten Users ausgeführt werden kann. Tritt dieser Anmeldeversuch auf, protokolliert Windows dies als Logon Type 4. Je nach Design können auch 3rd-Party Scheduling Systeme Events mit Logon Type 4 generieren.

Logon Type 5: Service

Ähnlich wie beim Scheduled Task sind auch Services so konfiguriert, dass sie im Kontext eines hinterlegten User Accounts ausgeführt werden. Wird ein Service gestartet, erstellt Windows auch hier eine neue Anmelde-Session. In diesem Fall protokolliert Windows dies als Logon Type 5.

Logon Type 7: Unlock

Optimalerweise werden die Workstations im Netzwerk automatisch mit einem passwortgeschützten Bildschirmschoner gesperrt, wenn ein User seinen Arbeitsplatz verlässt. Entsperrt der User jetzt seine Workstation, ist dies aus Sicht von Windows ebenfalls eine Anmeldung. In diesem Fall wird jedoch Event Type 7 protokolliert – das Event wird als Entsperrversucht für Workstations identifiziert.

Logon Type 8: NetworkCleartext

Logon Type 8 protokolliert eine Netzwerkanmeldung wie bei Logon Type3, jedoch wurde bei dieser Anmeldung das Kennwort als Klartext über das Netzwerk gesendet. Normalerweise sollte dieser Logon Type nicht auftreten, da Windows selbst keine Verbindung zu Netzwerkfreigaben und Netzwerkdruckern mit Klartext-Authentifizierung zulässt. Lediglich bei IIS in Kombination mit Basic Authentication kommt dieser Logon Type vor.

Logon Type 9: NewCredentials

Logon Type 9 wird dann protokolliert, wenn der Befehl RunAs mit der Option /netonly verwendet wird, um z.B. ein Programm im Kontext eines anderen User Accounts zu starten. Wird ein Programm mit RunAs /netonly gestartet, wird das Programm selbst mit dem lokal angemeldeten Benutzer aussgeführt, für Verbindungen zu anderen Netzwerk-Ressourcen verwendet Windows jedoch die unter RunAs angegebenen Credentials.

Logon Type 10: RemoteInteractive

Logon Type 10 entspricht im Allgemeinen dem Logon Type 2 mit der Abweichung, dass die Anmeldung nicht an einem lokalen System erfolgt, sondern über RDP an einem Remote System. Dies kann einerseits eine Remote Desktop Session sein und andererseits eine Remote Assistance Session. Logon Type 10 dient daher der Unterscheidung, ob die Anmeldung lokal oder remote erfolgt ist.

Logon Type 11: CachedInteractive

Windows unterstützt eine Funktion namens Cached Logons, die es mobilen Usern erleichtern soll, sich an ihrem Notebook auch dann anzumelden, wenn das Gerät nicht mit dem Unternehmensnetzwerk verbunden ist und kein Domain Controller zur Verfügung steht, um die Identität des Users zu verifizieren. Um dieses Problem zu lösen, speichert Windows einen Hash-Wert der (standardmäßig) letzten 10 interaktiven Anmeldungen an der Domäne. Ist zum Zeitpunkt der Anmeldung nun kein Domain Controller erreichbar, verwendet Windows diese Hashes, um die Identität des Domain Users zu prüfen und diesen anzumelden. Diese Anmeldungen werden als Logon Type 11 protokolliert.

Zudem hier noch ein schöner Referenz-Guide, wenn man die Logon-Events monitoren möchte:

Ronny Böttcher

Systemadministrator seit 2007 und seit 2012 als Application Administrator bei 1&1 in Deutschland am Standort Karlsruhe. Weitere Interessen in: Storage Spaces (Direct), HCI / HyperV.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.