whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows セキュリティ診断 ドメイン アカウント管理

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーのセキュリティ診断・ドメイン アカウント管理について説明します。不正アクセス者がドメインログインを成功させた場合、次にアカウント作成や 状態変更などをおこないます。これらの攻撃の兆候を見逃さないために、セキュリティログ診断は定期的に行う必要があります。

診断項目は、以下の通りです。
・ユーザーの作成
・パスワードの変更
・アカウント状態の変更
・グループの変更
・ロックアウト

ユーザーの作成

ユーザー アカウントが作成され、有効にされたことを示します。アカウント作成を組織内の特定の人物のみに制限している場合、権限のない人物がユーザー アカウントを作成したかどうかを特定するのにこれらのイベントが使用できます。

イベントID 意味
624 ユーザー アカウントが作成されました。
626 ユーザー アカウントが有効にされました。

パスワードの変更

パスワードの変更が試行され成功したことを示します。パスワードがそのユーザー以外の人物によって変更されている場合、そのアカウントがほかのユーザーによって乗っ取られた可能性があります。

イベントID 意味
627 パスワードの変更が試行されました。
628 ユーザー アカウントのパスワードが設定されました。

アカウント状態の変更

ユーザーアカウントの有効化/無効化/削除を示します。攻撃者が攻撃時に使用したアカウントを無効または削除することで、痕跡を隠蔽しようとする可能性があります。

イベントID 意味
626 ユーザー アカウントが有効にされました。
629 ユーザー アカウントが無効にされました。
630 ユーザー アカウントが削除されました。

グループの変更

イベントID 632と633は グローバル グループ メンバシップの変更、イベントID 636と637はドメイン ローカル グループ メンバシップの変更を示します。

イベントID 意味
632 セキュリティが有効なグローバル グループ メンバが追加されました。
633 セキュリティが有効なグローバル グループ メンバが削除されました。
636 セキュリティが有効なローカル グループ メンバが追加されました。
637 セキュリティが有効なローカル グループ メンバが削除されました。

ロックアウト

アカウントがロックアウトされた場合、2 つのイベントが PDC エミュレータの操作マスタに記録されます。イベントID 644 はアカウント名がロックアウトされたことを、イベントID 642はユーザー アカウントが変更され、そのアカウントが今ではロックアウトされていることを示しています。このイベントは、PDC エミュレータでのみ記録されます。

PDC エミュレータとは、混在モードのActive Directoryドメインに最初に構築されたドメインコントローラの「役割」のことで、Windows NTドメインにおける PDC(Primary Domain Controller)と互換性があります。

イベントID 意味
642 ユーザー アカウントが変更されました。
644 ユーザー アカウントがロック アウトされました。


Windows Vista,Windows 7,Windows Server 2008 アカウント診断
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4720ユーザアカウントの作成
4722ユーザアカウントの有効化
4723ユーザアカウントのパスワード変更
4724ユーザアカウントのパスワード設定
4725ユーザアカウントのパスワード無効化
4726ユーザアカウントの削除
4738ユーザアカウントの変更
4740ユーザアカウントのロックアウト
  
4727セキュリティが有効なグローバルグループの作成
4728セキュリティが有効なグローバルグループメンバの追加
4729セキュリティが有効なグローバルグループメンバの削除
4730セキュリティが有効なグローバルグループの削除
4731セキュリティが有効なローカルグループの作成
4732セキュリティが有効なローカルグループメンバの追加
4733セキュリティが有効なローカルグループメンバの削除
4734セキュリティが有効なローカルグループの削除
4735セキュリティが有効なローカルグループの変更
4737セキュリティが有効なグローバルグループの変更
4744セキュリティが無効なローカルグループの作成
4745セキュリティが無効なローカルグループの変更
4746セキュリティが無効なローカルグループメンバの追加
4747セキュリティが無効なローカルグループメンバの削除
4748セキュリティが無効なローカルグループの削除
4749セキュリティが無効なグローバルグループの作成
4750セキュリティが無効なグローバルグループの変更
4751セキュリティが無効なグローバルグループメンバの追加
4752セキュリティが無効なグローバルグループメンバの削除
4753セキュリティが無効なグローバルグループの削除
4754セキュリティが有効なユニバーサルグループの作成
4755セキュリティが有効なユニバーサルグループの変更
4756セキュリティが有効なユニバーサルグループメンバの追加
4757セキュリティが有効なユニバーサルグループメンバの削除
4758セキュリティが有効なユニバーサルグループの削除
4759セキュリティが無効なユニバーサルグループの作成
4760セキュリティが無効なユニバーサルグループの変更
4761セキュリティが無効なユニバーサルグループメンバの追加
4762セキュリティが無効なユニバーサルグループメンバの削除
4763セキュリティが無効なユニバーサルグループの削除


セキュリティ診断の省力化には・・・
セキュリティ診断は 上記の通りなのですが、実際の運用で手作業でイベントログをチェックするのはとても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ