Windows Logon Type Codes bei der Anmeldung
Alle Anmeldungen an einem Windows System werden im Event Log protokolliert. Unter Umständen kann es für System-Administratoren interessant sein, wie sich ein Benutzer am System anmeldet. Hierzu gibt es je einen Windows Logon Type Code für normale Anmeldungen, Netzwerk Anmeldung und viele weitere.
- Anmeldungen im Event ID 4624
- Abmeldungen im Event ID 4634
Da es unter Windows viele verschiedene Möglichkeiten gibt um sich anzumelden aber auch abzumelden, zeigen wir euch was die verschiedenen Logon Type Codes bedeuten.
Natürlich wird auch das Abmelden protokolliert im Event Viewer. In diesem Beitrag beschäftigen wir uns aber mit dem Anmelden und dessen Protokollierung.
Windows Logon Type Code finden im Event Viewer
Um zu erfahren, wann und wie sich ein Benutzer am System angemeldet hat kann man das Windows EventLog einsehen. Hier wird der Windows Logon Type Code hinterlegt. Um nun die gewünschten Informationen zu bekommen, müssen wir folgendermaßen vorgehen:
- Den Windows Event Viewer als Administrator starten (Windows Suche: “event”)
- Windows Logs aufklappen
- Den Log-Bereich Security (Sicherheit) öffnen
Hier werden uns in der Mitte alle Security-Logs gelistet. Nun kann für die Anmeldung nach der Event-ID 4624 gesucht werden.
Mit einem Doppelklick auf das Event bekommen wir alle gewünschten Informationen, unter anderem auch der Windows Logon Type Code.
Windows Logon Type Codes Liste
Wirklich interessant ist eigentlich nur, wie sich die Benutzer am System anmelden. Hier schriebt das Event Log mit, über welchen Weg oder über welche Methode sich der Benutzer am Windows authentifiziert. Wir haben euch nachfolgend zusammengefasst, welche Anmelde-Typen es gibt und welche Bedeutung diese haben.
Logon Type 2 (Interactive / Interaktiv)
Der Logon Type 2 ist die klassische Anmeldung am System mit Maus und Tastatur. Die Anmeldung wird über die Windows Anmeldemaske durchgeführt. Hierbei spielt es keine Rolle ob es ein normaler Benutzer, oder ein Domänen-Benutzer ist. Auch Anmeldungen über eine IPMI Konsole gehört zu der Interaktiven Anmeldung, obwohl diese (aus Sicht des Users) über das Netzwerk erfolgt.
Logon Type 3 (Network / Netzwerk)
Der Logon Type 3 wird protokolliert, wenn auf ein System über das Netzwerk zugegriffen wird. Greift man von Computer1 auf ein Netzlaufwerk oder auf die C$-Freigabe des Computer2 zu, so wird auf Computer2 eine Typ 3 Anmeldung protokolliert.
Logon Type 4 (Scheduled Task / Aufgabenplanung)
Wenn auf dem System eine Aufgabenplanung, also ein Scheduled Task konfiguriert ist, so wird für jeden Task bei der Ausführung eine neue Anmelde-Session generiert. Das Hat den Hintergrund, dass der Task auch mit dem User ausgeführt werden kann, der hinterlegt ist. In diesem Falle wird ein Logon Type 4 Fehler in das Windows Event-Log geschrieben.
Logon Type 5 (Service / Dienst)
Der Logon Type 5 ist ähnlich wie bei der Aufgabenplanung, nur wird dieser für die Anmeldungen der Windows Dienste verwendet. Dienste werden ebenfalls immer unter einem Bestimmten Benutzer ausgeführt.
Logon Type 7 (Unlock / Entsperren)
Der Logon Type 7 wird zum Entsperren von Computern verwendet. Wenn der Computer automatisch gesperrt wurde (meist durch Inaktivität), so kann der angemeldete Benutzer den Computer wieder entsperren. Dieser Vorgang ist für Windows ebenfalls ein anmelden.
Logon Type 8 (NetworkCleartext / NetzwerkKlartext)
Dieser Logon Type 8 ist gleich des Tpye 3, nur dass das Kennwort zur Anmeldung in Klartext übertragen wird. In der Regel ist es eher schlecht wenn dieser Code im Eventlog steht, da Windows generell keine Anmeldungen über Klartext erfolgen, beziehungsweise zugelassen werden. Bei IIS Webservern mit Basic Authentication tritt dieses Event oft auf.
Logon Type 9 (New Credentials / Neue Anmeldeinformationen)
Dieser Logon Type 9 ist sehr speziell und kommt eher selten vor. Wenn man in einem Script den Befehl RunAs mit dem Parameter /netonly benutzt, wird das Programm zwar lokal auf dem Computer ausgeführt, aber bei Verbindungen auf Netzwerk-Ressourcen wird der angegebene Benutzer verwendet.
Logon Type 10 (RemoteInteractive / RemoteInteraktiv)
Wer sich remote an einem Computer anmeldet, in der Regel mit RemoteDesktop, wird der Logon Type 10 in das Windows Event Log geschrieben. Dieser ist ähnlich zum Typ 2, mit dem Unterschied, dass die Anmeldung remote erfolgt.
Logon Type 11 (CachedInteractive / GespeichertInteraktiv)
In vielen Fällen kommt es vor, dass der Client (vor allem Notebooks) keine Verbindung zum Domain Controller haben. Der Benutzer kann sich jedoch trotzdem anmelden, falls dieser vor kurzen schon einmal am Gerät angemeldet war. Tritt dieser Fall auf, so sprechen wir vom Logon Type 11 bei der Anmeldung.
Fehler bei der Anmeldung – Status Codes
Ist eine Anmeldung fehlgeschlagen, so wird im EventLog dies protokolliert. Aber nicht nur, dass die Anmeldung fehlgeschlagen ist, sondern auch der Grund. Hier gibt es wieder Status Codes zur Anmeldung, welche den Grund der verweigerten Anmeldung am Windows System nennen.
| Status Codes | Beschreibung |
|---|---|
| 0xC0000064 | Benutzername unbekannt oder existiert nicht |
| 0xC000006A | Das Passwort ist falsch |
| 0xC000006D | Die Authentifizierungsinformationen sind nicht korrekt |
| 0xC0000234 | Benutzer ist derzeit nicht berechtigt |
| 0xC0000072 | Account ist gesperrt |
| 0xC000006F | Anmeldeversuch außerhalb der geregelten Stunden |
| 0xC0000070 | Der Client ist nicht berechtigt sich am DC anzumelden |
| 0xC0000193 | Account ist abgelaufen |
| 0xC0000071 | Passwort ist abgelaufen |
| 0xC0000133 | Zeit des Domain Controller und des Clients zu unterschiedlich |
| 0xC0000224 | Passwort muss vor der Anmeldung geändert werden |
| 0xc000015b | Benutzer kann den angeforderten logon Type nicht gewährleisten |
