Event id 528 a 540 jsou události úspěšného přihlášení (logon) a event id 538 odhlášení (logoff). Tyto eventy poskytují informaci logon type, která popisuje, jakým způsobem se uživatel k počítači přihlásil (interaktivně na lokální obrazovku pomocí lokální klávesnice a myši, přes síť pomocí terminálových služeb případně RDP nebo třeba na IIS server).

Stejně tak události neúspěšného přihlášení (event id 529, 530, 531, 532, 533, 534, 535, 536, 537, 539, 627 a 644) obsahují informaci logon type.

Podíváme se nyní na jednotlivé hodnoty logon type:

Logon Type 2 – Lokální interaktivní přihlášení na konzoli

Toto přihlášení si většina lidí představí, když se řekne „přihlásit se do Windows“. Jde o přihlášení na konzoli pomocí lokální klávesnice 😉 O té lokální klávesnici by se dalo polemizovat u přihlášení k virtuálnímu počítači nebo přes KVM, ale tato situace je samozřejmě také brána jako logon type 2.

Logon Type 3 – Síťové přihlášení

K počítači je přistupováno přes síť. Jde například o přístup ke sdílené složce nebo tiskárně. Ale také o další služby – například přihlášení k IIS (tedy pokud není na IISku nastaveno basic athentication – viz dále logon type 8).

Logon Type 4 – Dávka (batch) spuštěná přes naplánované úlohy (scheduled task)

Když Windows spouští dávku přes naplánované úlohy, nejprve vytvoří logon session (česky třeba přihlašovací relaci) pro danou úlohu. Relace má práva uživatele, pod kterým se úloha spouští (toto se definuje při ve vlastnostech úlohy).

Logon Type 5 – Služba spuštěná pod uživatelským účtem

Podobná situace jako pro naplánované úlohy. Každá služba má definovaný účet (ne vždy jde o uživatelský účet), pod kterým se spouští. Když se služba startuje, Windows nejprve vytvoří logon session pro daný účet.

Logon Type 7 – Odemknutí plochy

Když je spořič obrazovky chráněn heslem, počítač se po určeném čase nečinnosti automaticky uzamkne a pro odemknutí je nutné zadat uživatelské heslo. Tato akce (odmknutí) je z hlediska Windows vyhodnoceno jako logon událost, která má logon type 7.

Logon Type 8 – Síťové přihlášení (plaintext)

Jde o podobné přihlášení jako logon type 3, ale heslo bylo po síti posláno jako plaintext (nešifrovaně jako otevřený text). Toto není možné pro přihlášení ke sdíleným prostředkům (složky, tiskárny), ale je možné například pro login k IIS serveru s basic authentication nebo z různých ASP skriptů pomocí ADVAPI. (Teď by mohl následovat rozbor bezpečnostních rizik posílání hesla v plaintextu nebo psaní hesel do skriptů ASP, ale o tom někdy jindy 😉 )

Logon Type 9 – Nová credentials (kredence 😀 úroveň oprávnění)

Pokud spustíme program s použitím příkazu RunAs s parametrem /netonly, Windows logují logon type 9. Je-li příkaz použit bez /netonly, jde o logon type 2.

Logon Type 10 – Vzdálené interaktivní přihlášení

Pokud k počítači přistupujeme přes terminálové služby (Terminal Services), vzdálenou plochu (Remote Desktop (RDP)) nebo vzdálenou pomoc (Remote Assistance), Windows logují logon type 10. (Nicméně Windows XP a 2000 to nerozlišují a tuto událost logují jako logon type 2.)

Logon Type 11 – Kešované interaktivní přihlášení (Cached Interactive)

Pokud se přihlašujeme doménovým účtem, ale nemáme dostupný doménový řadič (typicky jde o notebook, který není ve firemní síti, ale někde na služební cestě), použijí se kešované logon údaje. Kolikrát se může takto uživatel může přihlásit je řízeno pomocí doménových politik (ve výchozím stavu 10x). Při tomto přihlášení bez řadiče Windows logují logon type 11.