로컬 사용자 계정에 대해 보안 이벤트 529가 기록된다

로그온 유형 코드 이해하기

윈도우 보안감사 로그를 분석하다보면 많은 코드들이 나와 혼란스럽습니다.

이중 중요한 코드가 로그온 유형 코드인데요, 이를 통해서 침입자가 어떤 방식으로 접근했는지를 확인할 수 있습니다.

로그온 유형 2 (Logon Type 2) : 대화식

콘솔에서 키보드로 로그인 (LogMeIn, TeamView, KVM 포함)

예제)
로그온 시도: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
로그온 계정: KIM
워크스테이션: COMPUTER2
오류 코드: 0xC000006A

Not to worry.

ID: 680
Source: Security

Explanation
A program or service attempted to start with the logon credentials specified
in the message, which do not match the credentials of the current user. This
message is logged for informational purposes only.

User Action
No user action is required.

Failure Events Are Logged When the Welcome Screen Is Enabled
http://support.microsoft.com/?kbid=305822
로그온 유형 3 (Logon Type 3) : 네트워크

네트워크를 통한 원격 로그인. (파일 공유, IIS 접속 등)
로그온 유형 4 (Logon Type 4) : 자동실행(스케줄)
스케줄에 등록된 배치 작업 실행시 미리 설정된 계정 정보로 로그인
로그온 유형 5 (Logon Type 5) : 서비스
서비스가 실행될때 미리 설정된 계정 정보로 로그인

로그온 유형 7 (Logon Type 7) : 잠금해제
화면보호기 잠금 해제시

로그온 유형 8 (Logon Type 8) : 네트워크 (평문암호)
유형 3과 비슷하지만 계정 정보를 평문으로 전송시 발생 (ASP 기본 암호설정)

로그온 유형 9 (Logon Type 9) : 새 자격
실행(RunAs)에서 프로그램 실행시 /netonly 옵션을 줄때

로그온 유형 10 (Logon Type 10) : 원격 대화식
터미널 서비스, 원격 접속, 원격지원으로 로그인

로그온 유형 11 (Logon Type 11) : 캐쉬된 대화식
PC에 캐쉬로 저장된 암호로 자동 입력 로그인시

예)
이벤트 종류: 실패 감사
이벤트 원본: 보안
이벤트 범주: 로그온/로그오프
이벤트 ID: 529
날짜: date
시간: time
사용자: NT AUTHORITY\SYSTEM
컴퓨터: domain controller computer name
설명:
로그온 실패:
이유: 알 수 없는 사용자 이름이거나 암호가 틀립니다.
사용자 이름: user name
도메인: client computer name
로그온 유형: 3
로그온 프로세스: KSecDD
인증 패키지: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
워크스테이션 이름: client computer name

자세한 정보는 http://support.microsoft.com/kb/811082/ko에 있는 도움말 및 지원 센터를 참조하십시오.

사용자가 로그오프하면 Windows XP 또는 Windows Server 2003은 다음 로그온 프로세스를 최적화할 수 있도록 갱신된 정보를 확인하기 위해 사용자 레코드를 다시 읽습니다. 그러나 Windows는 사용자가 로컬 SAM 데이터베이스에 있다는 사실을 무시하고 대신 컴퓨터가 도메인의 구성원인 경우 도메인에 연결하려고 합니다.

업데이트시 ASP.net 서비스가 중단 됩니다. 주의  (IIS에서 허용으로 다시 변경필요)