Cos’è il logon
In breve: il logon è un processo per ottenere l’accesso a sistemi locali o remoti utilizzando un set di credenziali valide. Le informazioni sull’utente vengono convalidate dall’autorità di sicurezza locale (LSA) nel caso di un account locale mentre che, nel caso di un account di dominio, il Security Accounts Manager (SAM) sarà candidato a verificare tali informazioni.
LSA
Secondo la documentazione Microsoft “L’autorità di sicurezza locale (LSA) è un processo di sistema protetto che autentica e logga gli utenti al computer locale. Inoltre, LSA conserva le informazioni su tutti gli aspetti della sicurezza su un computer e fornisce vari servizi per la traduzione tra nomi e identificatori di sicurezza (SID).”
Abilitare l’audit per controllare gli eventi
In ambiente di dominio
1) Accedere al controller di dominio
2) Aprire la Console di gestione dei criteri di gruppo
3) Espandere l’Oggetto Dominio
4) Espandere gli oggetti Criteri di gruppo
5) Fare clic con il pulsante destro del mouse sulla policy di dominio predefinita e fare clic su Modifica
6) Seguire il percorso seguente per abilitare gli eventi Audit Logon.
Configurazione computer --> Impostazioni di Windows --> Impostazioni di sicurezza --> Configurazione criteri di controllo avanzati --> Criteri di controllo --> Accesso/Disconnessione --> Accesso al controllo7) Selezionare la casella di controllo “Configura i seguenti eventi di controllo:”, “Successo” e “Fallimento”.
Computer locale
1) Aprire l’Editor criteri di gruppo locali
2) Seguire il percorso seguente per abilitare gli eventi Audit Logon.
Configurazione computer --> Impostazioni di Windows --> Impostazioni di sicurezza --> Configurazione criteri di controllo avanzati --> Criteri di controllo del sistema - Oggetto Criteri di gruppo locali --> Accesso/Disconnessione --> Controllo accesso3) Seleziona la casella di controllo “Configura i seguenti eventi di controllo:”, “Successo” e “Fallimento”.
Tipologie di logon
Una volta bilitato l’audit andiamo a vedere le tipologie di logon. di seguito andrò a riassumerle qua sotto
Logon type 0
Nome : Used by system
Autenticatore : Nessuno
Descrizione : È usato dal sistema al momento del bootLogon type 2
Nome : Interattivo
Autenticatore : Password, PIN, smart card
Descrizione : Avviene quando ci si autentica direttamente dalla console Logon type 3
Nome : Network
Autenticatore : Password, Kerberos ticket, NT Hash
Descrizione : Avviene quando un utente si logga alla macchina da remoto oppure quando si tenta di accedere a risorse condivise che richiedono l'autenticazioneLogon type 4
Nome : Batch
Autenticatore : Password
Descrizione : Avviene quando un task schedulato viene eseguito con privilegi specifici diversi da quelli dell'utente che ha creato il processo Logon type 5
Nome : Services
Autenticatore : Password
Descrizione : Avviene quando un servizio viene eseguito Logon type 6
Nome : Proxy
Autenticatore : Nessuno
Descrizione : Proxy logonLogon type 7
Nome : Unlock
Autenticatore : Password, PIN, smart card
Descrizione : Avviene quando un utente sblocca una sessione precedentemente bloccataLogon type 8
Nome : NetworkClearText
Autenticatore : Password
Descrizione : Avviene quando le credenziali di un utente vengono passate in chiaro, senza cifratura. Esistono più casi d'uso in cui possiamo vedere che l'evento 8 viene generato, come durante l'utilizzo della basic authentication di IIS (Internet Information Services) o utilizzando FTP. Logon type 9
Nome : NewCredentials
Autenticatore : Password
Descrizione : Avviene quando un utente sfrutta il comando RunAs con l'opzione /netonly per avviare un programma. Creerà una nuova sessione di accesso con la stessa identità locale ma con credenziali diverse. Questo è idealmente utilizzato per accedere alle risorse di rete con un utente diverso.Logon type 10
Nome : RemoteInteractive
Autenticatore : Password, smart card
Descrizione : Quando un utente si logga ad un sistema remoto via RDPLogon type 11
Nome : CachedInteractive
Autenticatore : Password
Descrizione : Avviene quando un utente accede al PC tramite console e le credenziali vengono convalidate tramite le credenziali memorizzate nella cache. Questo significa che l'utente non è connesso alla rete dell'organizzazione o il controller di dominio non è raggiungibile (Windows supporta questo accesso utilizzando le credenziali nella cache per gli utenti in roaming per semplificare la vita quando sono disconnessi dalla rete dell'organizzazione).Logon type 12
Nome : CachedRemoteInteractive
Autenticatore : Password
Descrizione : Simile al logon type 11, con l'unica differenza che fa riferimento alle connessioni RDP (cioè quando le credenziali vengono verificate mediante cache)Logon type 13
Nome : CachedUnlock
Autenticatore : Password
Descrizione : Avviene quando un utente tenta di sbloccare una macchina bloccata e le credenziali vengono convalidate tramite le credenziali memorizzate nella cache, ciò significa che l'utente non è connesso alla rete dell'organizzazione o che il controller di dominio non è raggiungibile.EOF