リファレンス:Account Management
Windowsには、似通った監査ポリシーとして [アカウント ログオン]、[ログオン/ログオフ]、[アカウントの管理] があります。辞書攻撃などでログオン失敗が続き、アカウントロックアウトされた場合の関係は次の通りです。
- 認証試行(ID/パスワード入力)
誰が、どこから、どの方法でログオンを試みたかを記録→ [ログオン/ログオフの監査] - 認証の成否(成功/失敗)
DCが認証を実施し、成功または失敗を記録→ [アカウント ログオンの監査] - ロックアウト発生
ロックアウトしきい値を超え、アカウント状態が変更されたことを記録→ [アカウントの管理の監査]
4740: ユーザー アカウントがロックアウトされました。 - 管理者による検知
ログを確認して不正アクセスやロックアウトを把握→ 主に [ログオン/ログオフの監査] のイベントを参照
攻撃の検知には、以下のポリシーを設定します。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| アプリケーショングループの管理の監査 | 成功、失敗 (既定値:監査なし) | アプリケーション グループの変更によって生成されるイベントを記録します。IIS や特殊アプリが “アプリケーショングループ” を使う場合に利用します。 アプリケーション グループが作成、変更、または削除されます。 アプリケーション グループにメンバーが追加または削除されます。 |
| コンピュータ アカウント管理の監査(DC のみ) | 成功、失敗 (DC既定値:成功) | コンピュータアカウントの作成、変更、削除、名前変更など、コンピュータアカウント管理に関するイベントを記録します。 4741: コンピュータ アカウントが作成されました。 4742: コンピュータ アカウントが変更されました。 4743: コンピュータ アカウントが削除されました。 |
| 配布グループの管理の監査 (DC のみ) | 成功 (DC既定値:監査なし) | 配布グループの作成、変更、削除、または配布グループへのメンバーの追加や削除など、配布グループ管理に関するイベントを記録します。攻撃の際の悪意のあるグループアカウントを検出できます。 4744: セキュリティが無効なローカル グループが作成されました。 4745: セキュリティが無効なローカル グループが変更されました。 4746: セキュリティが無効なローカル グループにメンバーが追加されました。 4747: セキュリティが無効なローカル グループからメンバーが削除されました。 4748: セキュリティが無効なローカル グループが削除されました。 4749: セキュリティが無効なグローバル グループが作成されました。 4750: セキュリティが無効なグローバル グループが変更されました。 4751: セキュリティが無効なグローバル グループにメンバーが追加されました。 4752: セキュリティが無効なグローバル グループからメンバーが削除されました。 4753: セキュリティが無効なグローバル グループが削除されました。 4759: セキュリティが無効なユニバーサル グループが作成されました。 4760: セキュリティが無効なユニバーサル グループが変更されました。 4761: セキュリティが無効なユニバーサル グループにメンバーが追加されました。 4762: セキュリティが無効なユニバーサル グループからメンバーが削除されました。 4763: セキュリティが無効なユニバーサル グループが削除されました。 |
| その他のアカウント管理イベントの監査 (DC のみ) | 成功 (DC既定値:監査なし) | その他のアカウント管理イベントを記録します。管理者のアカウントの権限変更や、予期せぬパスワードハッシュアクセスなどが含まれます。通常、パスワードハッシュアクセスはActive Directory Migration Tool (ADMT)などのツールで移行処理を行う際に出力されます。 4780: 管理者グループのメンバのアカウントに ACL が設定されました。 4781: アカウントの名前が変更されました。 4782: アカウントのパスワード ハッシュにアクセスしました。 4793: パスワード ポリシー チェック API が呼び出されました。 |
| セキュリティグループの管理の監査 | 成功 (既定値:成功) | セキュリティグループの作成、変更、削除、メンバーの追加または削除など、セキュリティグループ管理に関するイベントを記録します。セキュリティグループアカウントの作成などが検出できます。 4727: セキュリティが有効なグローバル グループが作成されました。 4728: セキュリティが有効なグローバル グループにメンバーが追加されました。 4729: セキュリティが有効なグローバル グループからメンバーが削除されました。 4730: セキュリティが有効なグローバル グループが削除されました。 4731: セキュリティが有効なローカル グループが作成されました。 4732: セキュリティが有効なローカル グループにメンバーが追加されました。 4733: セキュリティが有効なローカル グループからメンバーが削除されました。 4734: セキュリティが有効なローカル グループが削除されました。 4735: セキュリティが有効なローカル グループが変更されました。 4737: セキュリティが有効なグローバル グループが変更されました。 4754: セキュリティが有効なユニバーサル グループが作成されました。 4755: セキュリティが有効なユニバーサル グループが変更されました。 4756: セキュリティが有効なユニバーサル グループにメンバーが追加されました。 4757: セキュリティが有効なユニバーサル グループからメンバーが削除されました。 4758: セキュリティが有効なユニバーサル グループが削除されました。 4764: グループのタイプが変更されました。 |
| ユーザーアカウント管理の監査 | 成功、失敗 (既定値:成功) | ユーザーアカウントの作成、変更、削除、名前変更、パスワードの設定または変更など、ユーザーアカウント管理に関するイベントを記録します。 4720: ユーザー アカウントが作成されました。 4722: ユーザー アカウントが有効になりました。 4723: アカウントのパスワードを変更しようとしました。 4724: アカウントのパスワードをリセットしようとしました。 4725: ユーザー アカウントが無効になりました。 4726: ユーザー アカウントが削除されました。 4738: ユーザー アカウントが変更されました。 4740: ユーザー アカウントがロックアウトされました。 4765: SID 履歴がアカウントに追加されました。 4766: アカウントに SID 履歴を追加しようとして失敗しました。 4767: ユーザー アカウントのロックが解除されました。 4780: 管理者グループのメンバーであるアカウントに ACL が設定されました。 4781: アカウント名が変更されました: 4794: ディレクトリ サービス復元モードを設定しようとしました。 5376: 資格情報マネージャーの資格情報がバックアップされました。 5377: 資格情報マネージャーの資格情報がバックアップから復元されました。 |
