リファレンス:Account Logon
Windowsには、似通った監査ポリシーとして [アカウント ログオン]、[ログオン/ログオフ]、[アカウントの管理] があります。辞書攻撃などでログオン失敗が続き、アカウントロックアウトされた場合の関係は次の通りです。
- 認証試行(ID/パスワード入力)
誰が、どこから、どの方法でログオンを試みたかを記録→ [ログオン/ログオフの監査] - 認証の成否(成功/失敗)
DCが認証を実施し、成功または失敗を記録→ [アカウント ログオンの監査] - ロックアウト発生
ロックアウトしきい値を超え、アカウント状態が変更されたことを記録→ [アカウントの管理の監査] - 管理者による検知
ログを確認して不正アクセスやロックアウトを把握→ 主に [ログオン/ログオフの監査] のイベントを参照
攻撃の検知には、以下のポリシーを設定します。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| 資格情報の確認の監査 | 成功、失敗 (クライアント エディションの既定値: 監査なし) (DC の既定値: 成功) | ユーザーアカウントのログオン要求での、送信された資格情報に対する検証結果を記録します。イベントは、資格情報を検証するコンピュータで記録されます。ドメインアカウントの場合はドメインコントローラーが、ローカルアカウントの場合はローカルコンピューターに記録されます。 イベントには、以下のものがあります。 4774: ログオン用にアカウントがマップされました。 4775: ログオン用にアカウントをマップできませんでした。 4776: ドメイン コントローラーがアカウントの資格情報を検証しようとしました。 4777: ドメイン コントローラーはアカウントの資格情報の検証に失敗しました。 |
| Kerberos認証サービスの監査 (DCのみ) | 成功、失敗 (DC既定値:成功) | ユーザーが KDC(ドメインコントローラ)に TGT(チケット・グラント・チケット) を要求した後のイベントの記録します。これにより、DC上で実行された「Kerberos の本人確認・チケット発行イベント」が追跡可能になり、Pass-the-Ticket の痕跡も含めて検出が可能となります。 4768: Kerberos 認証チケット (TGT) が要求されました。 4771: Kerberos 事前認証に失敗しました。 4772: Kerberos 認証チケット要求が失敗しました。 |
| Kerberos サービス チケット操作の監査 (DC のみ) | 成功、失敗 (DC既定値:成功) | Kerberos認証チケット保証チケット(TGT)要求によって生成されたイベントを記録します。特定のアカウントがファイルサーバーやファイル共有にアクセスする際に、Kerberosサービスチケット要求(TGS要求)をすることから、どのユーザーが どのサービス(SPN)を、どのサーバーへ、いつ、アクセスしようとしたか、がすべて確認できます。 4769: Kerberos サービス チケットが要求されました。 4770: Kerberos サービス チケットが更新されました。 4773: Kerberos サービス チケット要求が失敗しました。 |
