A logon is an event in Windows that shows a user account being granted some access to a workstation/server/computer. This article will explain the basics of Windows logon types, how authentication plays a role, and then describe the various types of logons built into Windows.
כמקצוענים בתחום הטכנולוגיה, כולנו רשמנו למחשבים, שרתים, מכשירי רשת וכד'. אבל, מה בדיוק אומר התחברות למערכת ב-Windows? האם יש סוגים רבים של התחברות ב-Windows? בהחלט כן, יש כנראה יותר ממה שאתם מבינים.
הבנת סוגי התחברות ב-Windows
כפי שציינתי קודם, יש מגוון רחב של סוגי התחברות ב-Windows. עם זאת, התחברות למערכת ואימות המשתמש ב-Windows הם פונקציות/אירועים נפרדים.
התחברות מול אימות
A Windows logon occurs on the workstation a user is attempting to access. However, Windows authentication is performed by the computer where the user account is stored. Yes, it’s a subtle difference, especially when you get into local, interactive, and network logons and authentication.
במחשבים המבוססים על Windows, כל האימותים מתבצעים כאחד מסוגי ההתחברות הבאים. זה נכון ללא קשר לאיזה פרוטוקול או אותנטיקטור אימות משתמשים.
התחברות קונפורמית עם חשבונות מקומיים או תחומיים
כניסה אינטראקטיבית היא כניסה שבה משתמש משתמש במקלדת ועכבר מקומיים כדי להזין פרטי כניסה במסך הכניסה ב- Windows. ניתן להיכנס עם חשבון מקומי נגד מסד נתונים של חשבונות SAM (מנהל חשבונות אבטחה) מקומי באמצעות שם המחשב בשדה 'תחום'.
משתמשים יכולים להיכנס עם חשבון תחום על ידי בחירת תחום פעיל של Active Directory בשדה התחום או על ידי הקלדת UPN שלהם בשדה שם המשתמש. כרטיסי חכם והתקני ביומטריה יכולים גם לשמש כאמצעי אימות להיכנס באופן אינטראקטיבי.
כניסות אינטראקטיביות מרחוק
כשאתה מתחיל מסרגל פרוטוקול רשת מרוחק (RDP) למשתמש אחר או שרת, זו התחברות מרוחקת אינטראקטיבית. אתה מתחבר באופן אינטראקטיבי עם המכונה המרוחקת, אבל אתה עושה זאת מרוחק. זה לא המחשב שאתה משתמש בו להתחלת החיבור הזה.
ההבחנה הזו היא פשוטה יחסית על הנייר, אך יש הרבה מורכבויות בדרכים שבהן הם מתועדים, מתועדים ביומני אבטחה שונים, ואיך הם יכולים להשתגע או להיפגע מבלי שתדע.
התחברות לרשת
A network logon is when a user logs on to a machine over the network. This is commonly for accessing shared network resources. For example, accessing a shared folder, connecting to a machine via WinRM (Windows Remote Management protocol), or a printer.
הפעלת אירועי התחברות ב-Windows
באופן ברירת מחדל, שולטי דומיין יפיקו אירוע התחברות כאשר מחשב דומיין מתחבר. אך, ישנם אירועים עוצמתיים יותר שניתן לרשום: אירועי רישום חשבון התחברות ו- אירועי התחברות רישום. ניתן לבצע זאת בדומיין שלך דרך מדיניות קבוצה או בשרת חבר או תחנת עבודה ספציפית דרך מדיניות אבטחה מקומית.
כאן כמה הוראות בסיסיות לאפשר רישום עם מדיניות קבוצתית בסביבת דומיין של Active Directory:
- התחברו לשרת הדומיין שלכם.
- פתחו את קונסולת ניהול מדיניות הקבוצה בכלים מנהליים.
- הרחיבו את אובייקט ה־domain.
- הרחיבו את אובייקט מדיניות הקבוצה.
- לחצו על האובייקט Default Domain Policy ולחצו על Edit.
- עקבו אחר הנתיב: הגדרות Windows -> הגדרות אבטחה -> הגדרות מדיניות בקריאה מתקדמת -> מדיניות רישום -> התחברות/התנתקות -> רישום התחברות.
- בחרו 'הגדר את אירועי הרישום הבאים:" תיבות סימון הצלחה ו־כישלון.
I’m now going to detail the most common Windows logon types. For each of them, I’ll include the types of authenticators that are able to initiate a logon of this type, as well as practical examples.
סוג התחברות 2: התחברות אינטראקטיבית
סוג זה של התחברות נוצר כאשר משתמש נכנס למקלדת של מכונה. שוב, משתמש יכול גם להשתמש בכרטיס חכם או בשיטות ביומטריות מלבד המקלדת והעכבר המסורתיים.
אמיתות שמתקבלות
ניתן להשתמש במקלדת ובעכבר, בכרטיסי חכם ובמכשירים ביומטריים. ישנם סוגי מכשירים חדשים שהוצגו בשנים האחרונות כולל מכשירי אבטחה תואמי FIDO2 (Yubikey, וכו').
דוגמאות
A local logon gives a user permission to access resources on the local computer. A local logon requires a user account in the local SAM on the computer.
סוג התחברות 3: התחברות רשת
סוג הכניסה הזו מתאר מחשב שנגיש ברשת (LAN/WAN). נהוג להשתמש בזה כדי לגשת לשרתי קבצים, מדפסות ומכשירי רשת אחרים.
אימותים מקובלים
ניתן להשתמש במקלדת ועכבר (סיסמה), כרברוס, וגם גיבובי NT הם אימותים מקובלים לסוג זה של כניסה.
דוגמאות
A network logon gives the user permission (via token) to access said resources. Local authentication does need to be completed first.
סוג כניסה 4: כניסת עטיפה
סוג כניסה זה קשור בדרך כלל למשימות מתוזמנות. אירועי סוג כניסה 4 נהיים בדרך כלל די נידיתים, אך משתמש זדון עשוי לנסות לנחש את הסיסמה של חשבון כאן.
אימותים מקובלים
A password is the only accepted authenticator as it is local.
דוגמאות
כאשר Windows מפעילה משימה מתוזמנת, השירות יוצר סשן כניסה חדש עבור המשימה כך שיהיה לה ההרשאות הנחוצות להשלימה.
אם תחזור אחורה במספר שנים טובות, עשוי להיות לך זכרון לפקודת 'at'. כן, לצורך נוסטלגיה, קרא קישור לתיעוד זה ממיקרוסופט בימי Windows 2000!
סוג כניסה 5: כניסת שירות
הסוג הבא נקרא רישום שירות. כש-Windows מתחיל שירות שמותאם להתחבר כמשתמש, Windows יוצר סבב רישום חדש. כל שירות מותאם לרוץ כחשבון משתמש מסוים.
מקבלים אותיות ממפתחות
כמו רישומי דואט, סוג ההתחברות של השירות מקבל רק סיסמא שבדרך כלל מאוחסנת כסוד LSA.
דוגמאות
כשמכינים שרת מקומי Apache Tomcat לאחסון אתר, באפשרותך להתאים את שירות ה-Tomcat להתחבר כמנהל המערכת (לא רעיון טוב), או יותר מועדף חשבון שירות תחום עם סיסמא חזקה מאוד.
סוג התחברות 7: הפרק
כשמשתמש עוזב משתמש למשך זמן מה, Windows ינעול את המחשב. זהו כדי להגן על המשתמש, הנתונים שלו ונתוני רשת רחוקים אחרים אפשריים מתוקפים או מתחמנים מקומיים. כשמשתמש מפתח את המחשב, סוג זה של התחברות מתועד ביומן האירועים הבטיחותיים המקומי.
מקבלים אותיות ממפתחות
שוב, רק סיסמא מתקבלת עבור סוג התחברות זה.
דוגמאות
כפי שצוין לעיל, לאחר שחזרת למחשב שנעול על ידי מדיניות, פותחת את המחשב, על ידי הכנסת הסיסמא מחדש, מתארת אירוע זה.
סוג כניסה 8: התחברות טקסט רגילה ברשת
סוג זה דומה לכניסה ברשת (סוג 3), אך כאן הסיסמה נשלחה על הרשת בטקסט ברור. הסיסמה עברה למערכת האימות במערכת המרוחקת בצורתה הלא מצופנת. Windows תמיד מצפין סיסמאות שהוקלדו לפני שהן מועברות על הרשת המקומית.
אימותים שמתקבלים
כן, אתה ניחש… סיסמאות.
דוגמאות
הדוגמה המסורתית היחידה לסוג זה הייתה התחברויות אנונימיות של IIS (שירותי מידע באינטרנט), אך גם אלה הפכו להיות נדירות עקב הנוף האבטחתי המתרבה שאנו חיים בו היום.
דוגמה נוספת היא בתוך סקריפט ASP (ספק שירותי יישום) בשימוש בתהליך התחברות ADVAPI.
סוג כניסה 9: התחברות חדשה על בסיס פרטי זיהוי
הסוג הזה של התחברות מתאר שימוש ב־RunAs כדי להתחיל תוכנית תחת חשבון שונה מהחשבון המחובר. אתה משתמש במתג /netonly ב־Windows כדי לבצע זאת.
מאמתים המקובלים
סיסמאות בלבד מתקבלות כמאמתים לסוג ההתחברות הזה.
דוגמאות
כאשר ברצונך לפתוח את ניהול המחשב כמנהל דומיין שונה, אתה יכול ללחוץ על Shift תוך שמירה על רמה בעת לחיצה ימנית על הכלי בכלי ניהול מתקדמים, ולאחר מכן ללחוץ על הרץ כמשתמש אחר. כאן, אתה נכנס לסוג התחברות זה כדי לפתוח את התוכנית תחת חשבון שונה מהחשבון שהשתמשת בו כדי להתחבר לתחנת העבודה.
סוג התחברות 10: התחברות אינטראקטיבית מרחוק
סוג התחברות זה לעיתים קרוי "RemoteInteractive," מתאר שימוש בפרוטוקול דסקטופ מרחוק (או שירותי טרמינל) כדי לגשת לתחנת עבודה או שרת מרחוק. סוג זה דומה ל־#2 (אינטראקטיבי), אך שוב, אנו מגיעים ממיקום מרוחק.
מאמתים המקובלים
מאחר שאנו משתמשים ב-RDP, יש לנו אותם אותיות אות יכולות אפשריות. אנו יכולים להשתמש בכרטיסים חכמים ומכשירים ביומטריים, כל עוד הם מועברים דרך עם הגדרות מתאימות בתוכנת ה-RDP של הלקוח.
דוגמאות
הדוגמה העיקרית שוב היא שימוש ב-RDP להתחברות למחשב מרוחק דרך הרשת.
סוג התחברות 11: התחברות אינטראקטיבית מקופלת
הסוג האחרון שלנו מתאר כשמשתמש מתחבר למכשיר באמצעות זיכרון מקופל. זה דומה מאוד, שוב, ל- #2 (אינטראקטיבי), אך במקום אימות 'בזמן אמת' למנהל תחום, ווינדוס משתמש באותם זיכרון מקופל (מקופל) כדי להעניק למשתמש הרשאות גישה לרשת.
אותיות אות מקבלות
במקרה זה, אפשר רק סיסמאות. אין דרכים להשתמש באסימון כרטיס חכם מקופל, מסיבות ברורות.
דוגמאות
הדוגמה הנפוצה ביותר כאן היא כשהמחשב שלך או משתמש אינם מחוברים לרשת (LAN/WAN). מכיוון שווינדוס לא יכול לבצע בקשת אימות בזמן אמת למנהל תחום, כל עוד 'x' מספר הימים לא עברו מאז שהמחשב שלךשוחחעם מנהל תחום, זיכרון מקופל מקומי משמש כדי להעניק אימות מקומי.
שוב, מדיניות קבוצה יכולה לציין את מספר הימים שהמחשב שלך יכול להישאר ב"תקופת חג". בדרך כלל, זה 30 או 90 ימים. אך, עם מוח ביטחון, יותר טוב.
מסקנה
ישים ידע טוב בסוגי הכניסה השונים ב- Windows עוזר למומחי ה-IT להבין ולטפל בבעיות שונות עם אירועי הכניסה במציג האירועים. ומבחינת אבטחה, סביר מאוד שתנתחו את יומן האירועים של שרת הדומיין האבטחתי בניסיון לגלות פעילות זדונית בדומיין של Windows שלכם.
תודה על הקריאה. אנא השאירו תגובה למטה!
כתבה קשורה: