whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows セキュリティ診断 ドメイン ログオン ユーザー 成功/失敗

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーのセキュリティ診断・ドメイン ログオンについて説明します。ドメインログオンは ActiveDirectryドメインコントローラに クライアントPCからユーザがログインした場合に発生するイベントです。

診断項目は、以下の通りです。
・ログオンの失敗
・時刻同期の問題
・ターミナルサービス攻撃

ドメイン ログオンの失敗

イベント ID 675 と 677 は、攻撃者がドメイン ユーザー名とパスワードの組み合わせを試行して失敗した場合に記録されます。
ユーザーの うっかりミスならば 問題はありませんが、それ以外のケースでは (組織内/外の)不正アクセス者が 不正操作を開始しようとしているので 「ユーザーのパスワードを定期的に変更する」などの対策が必要です。
イベントID 意味
675 事前認証が失敗しました。
677 TGS チケットは保証されませんでした。

時刻同期の問題

クライアント コンピュータのシステム時刻が認証ドメイン コントローラのシステム時刻と (既定では) 5 分以上異なる場合、セキュリティ ログにイベント ID 675 が記録されます。

サーバー、クライアントなどで 時刻同期が行われていないと、情報漏えいなどのセキュリティ事故が発生した際に 各種ログの整合性がとれず問題となります。

イベントID 意味
675 事前認証が失敗しました。

ターミナルサービス攻撃

イベントID 683 はユーザーがターミナル サービス セッションからログアウトしていないことを示し、イベントID 682 は既に切断されたセッションへの接続が発生したことを示します。

ターミナルサービス攻撃とは ターミナルサービスの脆弱性をつき メモリリークを発生させるなどの攻撃です。 Windows Updateなどの対策などを講じていれば 通常は問題となりませんが、イベントID 683、682 が多発しているのであれば 同種の攻撃の可能性があります。

イベントID 意味
682 ユーザーが切断されたターミナル サービス セッションに再接続しました。
683 ユーザーは、ログオフすることなくターミナル サービス セッションを切断しました。


Windows Vista,Windows 7,Windows Server 2008 ドメイン ログオン診断
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4625ログオンの失敗
ユーザーなし、パスワード間違いなど、すべての失敗が このイベントIDになります。


セキュリティ診断の省力化には・・・
セキュリティ診断は 上記の通りなのですが、実際の運用で手作業でイベントログをチェックするのはとても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ