Pada sistem operasi Windows, setiap logon memiliki tipe logon yang berbeda-beda. Kategori logon/logoff pada Windows security log membuat kita dapat memonitor semua percobaan untuk mengakses sebuah komputer lokal. Sehingga kita bisa tahu apabila ada upaya penerobosan ke dalam sistem windows.
Logon Tipe 2 - Interactive
Yang termasuk logon tipe 2 adalah ketika anda logon ke Windows langsung dari komputer tersebut. Dengan kata lain, anda logon menggunakan keyboard dan layar yang ada di komputer tersebut.
Logon Tipe 3 - Network
Logon tipe ini paling seing terjadi ketika anda berusaha logon ke Windows melalui komputer lain dalam jaringan. Salah satu contohnya adalah ketika melakukan sharing folder ataupun sharing printer.
Logon Tipe 4 - Batch
Pada saat Windows menjalankan sebuah perintah yang sudah dijadwalkan sebelumnya, maka pertama-tama service Scheduled Task akan membuat sebuah sesi logon baru untuk perintah tersebut, sehingga bisa berjalan dalam otoritas miliki user pembuat perintah terjadwal tersebut. Ketika tipe logon seperti ini terjadi, Windows akan mencatatnya sebagai logon tipe 4. Sistem penjadwalan tugas lainnya, juga bisa menghasilkan logon tipe 4 ketika dieksekusi, sesuai dengan desainnya. Logon tipe 4 biasanya hanyalah sebuah eksekusi dari tugas terjadwal, akan tetapi user yang jahat bisa merusak keamanan dengan menebak password dari sebuah account melalui tugas-tugas terjadwal. Apabila password yang digunakan salah, maka akan menimbulkan event gagal logon, dengan logon tipe 4. Namun, gagal logon pada sebuah tugas terjadwal juga bisa disebabkan karena administrator yang salah memasukan password account ketika tugas tersebut dibuat, atau karena pergantian password account setelah pembuatan tugas terjadwal, yang tidak disertai dengan pergantian password pada tugas yang dibuat.
Logon Tipe 5 - Service
Sama halnya dengan service Scheduled Tasks, setiap service lain juga diatur agar berjalan seolah-seolah sebagai user tertentu. Ketika sebuah service dijalankan, pertama-tama Windows akan membuat sebuah sesi logon untuk user account yang telah ditentukan, yang menghasilkan event Logon/Logoff dengan tipe logon 5. Event gagal logon dengan tipe logon 5 biasanya menandakan password sebuah account sudah dirubah tanpa adanya update terhadap service. Namun, kemungkinan adanya user jahat yang berperan tidak bisa diabaikan. Untuk membuat service baru, atau mengedit service yang sudah berjalan, user account yang digunakan harus menjadi anggota dari group Administrator atau Server Operator, dan apabila user semacam ini berniat jahat, biasanya memiliki akses yang cukup untuk berbuat sesuai keinginnanya.
Logon tipe 7 - Unlock
Workstation Windows secara otomatis menampilkan screensaver jika tidak digunakan dalam waktu tertentu. Untuk membuka screen saver diperlukan password. Ketika user kembali menggunakan komputer dan membuka screensaver, Windows menganggapnya sebagai sebuah logon, dan mencatat event Logon/Logoff dengan tipe logon 7. Apabila ada event gagal logon dengan tipe ini, biasanya disebabkan karena user salah memasukan password atau ada user jahat yang mencoba menebak password.
Logon Tipe 8 - NetworkCleartext
Logon tipe ini menandakan adanya logon melalui network, seperti pada tipe 3, tetapi password yang dikirim berupa clear text (text tidak terenkripsi). Windows server tidak memperbolehkan koneksi ke file sharing atau printer dengan otentikasi berupa clear text. Contoh situasinya antara lain ketika logon melalui script ASP menggunakan ADVAPI, atau ketika user logon ke IIS dengan mode otentikasi basic.
Logon Tipe 9 - NewCredentials
Jika anda menggunakan command RunAs untuk menjalankan program dengan user account lain dan menentukan switch /netonly, Windows mencatat event LogOn/LogOff dengan tipe logon 9. Ketika anda menjalankan program dengan RunAs menggunakan /netonly, program berjalan di komputer lokal sebagai user yang sekarang logon ke komputer, tapi setiap koneksi ke komputer lain dalam jaringan, Windows mengkoneksikan anda ke komputer tersebut dengan account yang dipakai pada perintah RunAs. Tanpa /netonly, Windows menjalankan program di komputer lokal dan komputer network memakai user saat RunAs dan bertipe logon 2.
Logon Tipe 10 - RemoteInteractive
Jika anda mencoba akses ke komputer melalui Terminal Service, Remote Desktop atau Remote Assistant, maka Windows mencatat event logon ini sebagai logon tipe 10. Sehingga mudah dibedakan antara console login (tipe 2) dengan logon dengan sesi remote desktop. Perlu dicatat, sebelum Windows XP, Windows 2000 tidak menggunakan logon tipe 10 dan terminal logon dianggap logon tipe 2.
Logon Tipe 11 - CachedInteractive
Dalam Windows terdapat fitur Cached Logon untuk memfasilitasi mobile user. Ketika anda tidak terkoneksi ke network milik perusahaan atau organisasi, dan anda mencoba logon ke laptop dengan domain account dimana tidak terdapat domain controller dalam laptop untuk memverifikasi identitas anda. Untuk mengatasi masalah ini, Windows menyimpan hash dari "mandat" dari 10 interactive domain logon terakhir dalam bentuk cache. Kemudian, ketika tidak ada domain controller, Windows menggunakan hash tersebut untuk memverifikasi identitas anda ketika anda logon menggunakan domain account.
Kesimpulan
Ada beberapa cara untuk logon ke sebuah sistem Windows. Memperhatikan tipe logon sangatlah penting, karena tipe logon yang berbeda bisa mempengaruhi interpretasi anda terhadap sebuah event logon dari perspektif security. Sebagai contohm kegagalan logon melalui network akan sangat mengejutkan, karena user hampir selalu mengakses server melalui network.
Referensi
http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html
Tweet
Tidak ada komentar:
Posting Komentar