Compartilhar via

Tipos de Logon do Windows (pt-BR)

  • Artigo

Como alguns ja devem saber, o Windows gera eventos de logon, porém, nem sempre o termo “logon” esta relacionado aquele em que o usuário esta de frente para o computador.

Abaixo irei descrever brevemente cada tipo de logon:

0 e 1 – System: Usado pela conta System.

2 – Interactive: Esse é o tipo de logon comum, é aquele em que o usuário acessa a console do sistema operacinal para efetuar o logon. Vale lembrar que o logon interactive pode ser local ou no domínio, para distiguir, basta verificar se a conta que efetuou a ação trata-se de uma conta local ou de domínio.

3 – Network: Ocorre quando um usuário tenta acessar os recursos da rede (como uma pasta compartilhada ou uma impressora).

4 – Batch: Ocorre quando o sistema operacional cria uma sessão temporária para executar uma tarefa agendada. Por exemplo, se você agenda no seu servidor um script para executar todo dia a meia-noite com um usuário de especifico o Windows irá gerar o evento de logon tipo 4 para esse usuário nesse horário.

5 – Service: Quando um serviço do windows esta executando, ele também cria uma sessão de logon para o usuário que esta configurado nesse serviço, gerando o evento tipo 5.

**6 – Proxy: **Gerado quando o logon é feito através de um proxy.

7 – Unlock: O Windows gera esse evento quando é uma máquina é desbloqueada pelo usuário.

8 – NetworkCleartext: Semelhante ao tipo 3, porém indica que um usuário acessou os recursos da rede em modo Clear Text. Recursos como pasta compartilhada e impressora não permite autenticação Clear Text, essa autenticação geralmente é usada para acesso a servidores IIS (quando configurado com autenticação básica).

9 – NewCredentials: Quando algum software é executado utilizando o Runas com o parâmetro /netonly o Windows gera o evento do tipo 9. O parâmetro /netonly indica que o aplicativo será executado localmente com a conta que efetuou logon no Windows, porém as novas conexões através da rede será utilizada a conta specificada no Runas. Se o /netonly não for utilizado, O Windows irá utilizar a conta especificada no Runas para logar localmente e será gerado o evento do tipo 2.

10 – RemoteInteractive: Quando o logon é efetuado através do Remote Desktop ou Remote Assistance o Windows gera o evento do tipo 10 (No Windows 2000 o evento de logon através de serviços de terminal era relatado como tipo 2).

11 – CachedInteractive: O Windows possui o recurso de Cache de Logon, que ajuda a usuários que possuem notebooks que fazem parte do domínio serem utilizados fora da empresa. Para isso, o Windows permite o logon comparando o hash das credenciais do usuário. Esse processo gera o evento tipo 11.

12 – CachedRemoteInteractive: Igual ao RemoteInteractive mas é usado pelo sistema para auditoria interna.

13 – CachedUnlock: Igual ao Unlock mas ocorre quando a máquina bloqueada não possui um Domain Controller disponível.

Fonte:
MSDN – Win32_LogonSession class
Windows Security – Logon Type Codes Revealed