リファレンス:Logon/Logoff
Windowsには、似通った監査ポリシーとして [アカウント ログオン]、[ログオン/ログオフ]、[アカウントの管理] があります。辞書攻撃などでログオン失敗が続き、アカウントロックアウトされた場合の関係は次の通りです。
- 認証試行(ID/パスワード入力)
誰が、どこから、どの方法でログオンを試みたかを記録→ [ログオン/ログオフの監査] - 認証の成否(成功/失敗)
DCが認証を実施し、成功または失敗を記録→ [アカウント ログオンの監査]
4625: アカウントがログオンに失敗しました。 - ロックアウト発生
ロックアウトしきい値を超え、アカウント状態が変更されたことを記録→ [アカウントの管理の監査] - 管理者による検知
ログを確認して不正アクセスやロックアウトを把握→ 主に [ログオン/ログオフの監査] のイベントを参照
攻撃の検知には、以下のポリシーを設定します。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| アカウントロックアウトの監査 | 失敗 (既定値:成功) | ログオンの失敗が多数あり、ロックアウト設定がなされていると、ユーザーのアカウントがロックアウトされたことを記録します。 4625: アカウントがログオンに失敗しました。 |
| グループメンバーシップの監査 | 成功 (既定値:監査なし) | ユーザーのログオントークンに含まれるグループメンバーシップ情報を記録します。ログは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、セキュリティ監査イベントはユーザーがログオンしたコンピューターで生成されます。ネットワーク共有フォルダーへのアクセスなどの場合、共有フォルダを持っているコンピューターで生成されます。 |
| ログオフの監査 | 成功 (既定値:成功) | ユーザーがシステムからログオフした時刻をアクセス先のコンピューターで記録します。ファイル共有などのネットワークログオンが行われた場合、これらのイベントはアクセス先のコンピューターで生成されます。 4634: アカウントがログオフされました。 4647: ユーザーがログオフを開始しました。 |
| ログオンの監査 | 成功、失敗 (クライアントエディションの既定値:成功) (サーバーエディションの既定値:成功、失敗) | ユーザーがシステムにログオンしようとした際に、アクセス先のコンピューターに記録します。 4624: アカウントが正常にログオンされました。 4625: アカウントがログオンに失敗しました。 4648: 明示的な資格情報を使用してログオンが試行されました。 4675: SID がフィルターされました。 |
| その他のログオン/ログオフイベントの監査 | 成功、失敗 (既定値:監査なし) | リモートデスクトップサービスセッションの再接続と切断、RunAs を使用した別のアカウントでのプロセス実行、コンソールのロック、ロック解除、スクリーンセーバー開始/終了、Domain Adminがログオンした、Wi-Fiアクセス、有線802.1Xなど、その他のログオン/ログオフ関連イベントを記録します。 4649: リプレイ攻撃が検出されました。 4778: セッションがウィンドウ ステーションに再接続されました。 4779: セッションがウィンドウ ステーションから切断されました。 4800: ワークステーションがロックされました。 4801: ワークステーションのロックが解除されました。 4802: スクリーン セーバーが起動されました。 4803: スクリーン セーバーが終了しました。 5378: 要求された資格情報の委任はポリシーによって許可されませんでした。 5632: ワイヤレス ネットワークへの認証が要求されました。 5633: 有線ネットワークへの認証が要求されました。 |
| 特別なログオンの監査 | 成功 (既定値:成功) | 特殊なログオンとは、管理者と同等の権限を持ち、プロセスの昇格に使用できるログオンです。Domain Admins、Enterprise Admins、Schema Admins、Administrators、Account Operators、Backup Operators、Server Operators、Print Operators がログオンした場合に記録します。 4964: 新しいログオンに特別なグループが割り当てられました。 4672: 新しいログオンに特権が割り当てられました。 |
