whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows セキュリティ診断 ローカル ログオン ユーザー 成功/失敗

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーのセキュリティ診断・ローカル ログオンについて説明します。 Windowsサーバにデスクトップログイン(マシンに直接にログイン)した場合、正しいユーザーであれば正しくログインされますが、不正なユーザーがユーザー・パスワードを推測で入力してログインしたりするケースが考えられます。不正な操作は ログインの失敗などのイベントログとして記録されますので、それらのログが発生していないかをチェックする必要があります。

診断項目は、以下の通りです。
・ローカル ログオンの失敗
・アカウントの誤用
・ロックアウト

ローカル ログオンの失敗

ローカルログオンの失敗のイベントログは、ローカル アカウントのユーザー名とパスワードの組み合わせを試行して失敗した場合に記録されます。ユーザーがパスワードを忘れたり、[マイ ネットワーク] を通したネットワーク参照を開始した場合にも記録されます。システム管理者の うっかりミスならば 問題はありませんが、それ以外のケースでは (組織内/外の)不正アクセス者が 不正操作を開始しようとしているので 「サーバーの物理的セキュリティを高める」、「管理者アカウントのパスワードを変更する」などの対策が必要です。

ローカル ログオンの失敗に関するイベントログは、イベントログ・セキュリティに「失敗の監査」で記録されます。
イベントID 意味
529 不明なユーザー名、または既知のユーザー名と無効なパスワードを使用してログオンしようとしました。
530 ユーザー アカウントは、認められた時間外にログオンしようとしました。
531 無効なアカウントを使用してログオンしようとしました。
532 期限切れのアカウントを使用してログオンしようとしました。
533 このコンピュータへのログオンが認められていないユーザーがログオンしようとしました。
534 ユーザーが、ネットワーク、対話型、バッチ、サービス、リモート対話型など、認められていないログオンの種類を使用してログオンしようとしました。
537 その他の理由でログオンが失敗しました。


アカウントの誤用

アカウントの誤用のイベントログは、ユーザーアカウントとパスワードの組み合わせは正しく入力されているが、他の制限(無効、期限切れ、時間外など)のためログオンが失敗するケースです。
ユーザーアカウントの誤用が発生しているかどうか、または現行の制限事項を変更する必要があるかどうかを判断する必要があります。

アカウントの誤用に関するイベントログは、イベントログ・セキュリティに「失敗の監査」で記録されます。
イベントID 意味
530 ユーザー アカウントは、認められた時間外にログオンしようとしました。
531 無効なアカウントを使用してログオンしようとしました。
532 期限切れのアカウントを使用してログオンしようとしました。
533 このコンピュータへのログオンが認められていないユーザーがログオンしようとしました。


ロックアウト

ロックアウトのイベントログは、パスワード攻撃が失敗したことを示している可能性があります。同一ユーザーによるイベント ID 529(不明なユーザー名または無効なパスワードによるログイン) がこれ以前に発生しているかどうかを確認し、ログオン試行のパターンを確認する必要があります。

ロックアウトとは 同一のユーザーが 連続してパスワードを間違えてログインを試行した場合に、Windowsシステムがそのユーザーをログインできないようにする仕組みです。システム管理者がユーザーのロックアウトを解除すれば 再びログインできるようになります。

ロックアウトに関するイベントログは、イベントログ・セキュリティに「失敗の監査」で記録されます。
イベントID 意味
539 ログオンしようとした時点で、そのアカウントはロックアウトされていました。


Windows Vista,Windows 7,Windows Server 2008 ローカル ログオン診断
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4625ログオンの失敗
ユーザーなし、パスワード間違いなど、すべての失敗が このイベントIDになります。


セキュリティ診断の省力化には・・・
セキュリティ診断は 上記の通りなのですが、実際の運用で手作業でイベントログをチェックするのはとても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。




お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ