Controllare gli Accessi a un Computer – LogonSessions

LogonSessions è un’applicazione che può essere eseguita da linea di comando e che permette di visualizzare gli accessi a un computer con le relative informazioni.

Una logon session viene creata quando un utente o un servizio si autentica su Windows.

Windows assegna a ogni sessione un identificativo che viene chiamato logon ID.

Ogni sessione contiene numerose informazioni come il nome utente, il tipo di autenticazione e l’ora del logon che nel loro insieme descrivono il modo in cui l’account interagisce con il sistema operativo.

Tutte le informazioni relative ai permessi e ai diritti di un account all’interno della sessione sono contenute all’interno di un oggetto chiamato access token.

LogonSessions utilizza proprio questo oggetto per ottenere l’elenco degli accessi attivi su un computer.

La sintassi è molto semplice

logonsessions [/p]

/p – visualizza i processi in esecuzione all’interno della sessione.

 

Lanciando il comando si ottiene un output come il seguente di cui analizziamo i vari elementi.

Logon session 00000000:0002bcf2:

User name:    MA\Marco

Auth package: NTLM

Logon type:   Interactive

Session:      0

Sid:          S-1-5-21-2364106804-427180495-3739658093-1004

Logon time:   31/12/2007 9.06.01

Logon server: MA

DNS Domain:

UPN:

Logon session – Mostra l’id della sessione

User name – L’utente loggato sul computer

Auth package – Il tipo di autenticazione eseguito. Il valore può essere uno dei seguenti.

Kerberos – Utilizzato per le autenticazioni a un dominio.

MSV1_0 – Usato per le autenticazioni sui domini NT e sui computer locali che non riescono a individuare un domain controller.

Negotiate – Usato quando il sistema operativo decide quale protocollo di autenticazione utilizzare tra Kerberos e NTLM.

NTLM – Utilizzato quando non è disponibile Kerberos.

Logon type – Il tipo di logon. Il valore può essere uno dei seguenti.

Interactive – Indica un logon effettuato via console.

Network – Logon via rete.

Batch – Logon tramite un processo batch.

Service – Logon effettuato da un servizio.

NetworkCleartext – Indica che il logon a utilizzato informazioni in chiaro.

CachedInteractive – Indica che il logon è avvenuto con informazioni cached.

Session – Il numero della sessione. Se si tratta di una sessione di un utente loggato alla console il valore è 0.

SID – Il valore che identifica l’utente.

Logon Time – L’ora in cui è stata creata la sessione.

Logon server – Il server che ha autenticato l’utente.

DNS Domain – Il dominio DNS utilizzato durante l’autenticazione.

UPN – Lo username in formato UPN.