Windows Eventlog ログオンの種類 と ログオンのプロセス

ログオンの種類

Type 内容
1 システムアカウント
システムアカウントによって生成されるセッション。バックグラウンドサービスやシステムタスクが使用する。
2

 対話型
インタラクティブにコンピュータに直接ログオンする。

3 ネットワーク
ファイル共有やプリンタ共有、リモートサービス。
4 バッチ
バッチ処理のためのログオン、スクリプトやバッチファイルが実行。
5 サービス
Windows サービスやバックグラウンドサービスが開始する際のログオン。
6 プロキシ
サービスやアプリケーションがユーザーの代理としてログオンする場合。
7 ロックの解除 (ワークステーションのロックを解除しました。)
8 ネットワーク クリアテキスト
ユーザーがネットワークを通じて認証情報を平文で送信する場合。
9 新しい資格情報
既存のログオンセッションの認証情報を更新するために使用される。
10 リモートデスクトップ
リモートデスクトップやterminalサービスを介してリモートログオンする場合。
11 キャッシュログオン
ドメインコントローラーにアクセスできない場合、ローカルのキャッシュされた資格情報を使用する場合。

ログオンのプロセス

Advapi
advapi32.dll
advapi32.dll の LogonUser 関数を使用し、ユーザー認証情報を検証し、ログオンセッションを作成する。LogonUser が LsaLogonUser を呼び出し、LsaLogonUser の引数の 1 つである OriginName がログオンの発生場所を識別する。
Windowsサービスの起動の場合、バッチジョブのログオンの場合、リモートデスクトップやリモートシェルなどのリモートアクセスの場合。
User32
user32.dll
WinLogon を使用する標準の Windows ログオン。winlog.exeが資格情報を収集し、lsass.exeによって認証される。認証が成功すると、userinit.exeが起動され、デスクトップのセットアップ、スタートアッププログラムが実行される。次いで、user32.dllが使用されデスクトップウィンドウの作成やメッセージプールの開始がされ、ユーザーはシステムの操作が開始できるようになる。
SCMgr
advapi32.dll

システム起動時もしくはユーザー操作によって、Service Control Manager に Windows サービス開始要求が送信される。サービスが実行されるアカウントの認証情報が使用され、システムにログオンされる。認証が成功するとService Control Manager は Windows サービスプロセスを作成する。Windows サービスが作成されると自身が初期化を行い、操作を開始する。

KsecDD
ksecdd.sys
システムアカウントによるログオン、タスクスケジューラで SYSTEM アカウントを使用した場合。システムファイルの変更やカーネルモードドライバのインストール、削除などの特権操作が行われた場合。
 Kerberos

クライアントがユーザーの資格情報を使用してKDCに認証サーバリクエスト(AS-REQ)を送信。KDCは資格情報を検証し、クライアントにチケット授与チケット(TGT)を返す(AS-REP)。
クライアントは、TGTを使用してKDCにサービスチケットのリクエスト(TGS-REQ)を送信する。KDCはTGTを検証し、クライアントにサービスチケットを返す(TGS-REP)。
クライアントはサービスチケットをサービスに送信しアクセスを要求(AP-REQ)。サービスはチケットを検証し、クライアントにアクセスを許可する(AP-REP)

NtlmSsp
NT LAN Manager Security Support Provider
クライアントがサーバーにNTLM認証をサポートしていることを送信。
サーバーがクライアントに対してチャレンジ(ランダムな数字)を送信。
クライアントがチャレンジを基に計算しサーバーに送信。サーバーは応答を検証して認証を実施。
ワークグループでローカルアカウントを使用しファイル共有を行う場合や、Kerberos認証が利用できない(DCに接続できない)場合に、NTLM認証にフォールバックされる。
Seclogon
Secondary Logon Service
RunAs コマンドが実行された場合、、タスクスケジューラで異なるユーザーアカウントの資格情報を使用してタスクを実行する場合、UACプロンプトで特権昇格した場合。
IIS IIS がログオンを実行したことを示し、IUSR_machinename アカウントでログオンするか、ダイジェスト認証または基本認証を使用したときに生成される。

参照:https://support.microsoft.com/ja-jp/help/326985