イベントログ ログオン監査
ここでは Windows ファイルサーバーの監査をどのように行うかを説明します。ファイルサーバーの監査では以下の3つの監査(ローカル ログオン/ログオフの監査、リモート ログオン/ログオフの監査、ファイルアクセスの監査)があります。ログオン/ログオフの監査は、ファイルサーバーに限らず、どのようなサーバーでも共通です。
ローカルコンピュータへのログオン/ログオフは、ユーザーがサーバーのデスクトップ(対話型)に ログオン/ログオフした際に記録されるイベントです。ファイルサーバーがサーバールームに設置されていて物理的なセキュリティが保たれていても、悪意のあるサーバーオペレータの操作、悪意のないサーバーオペレータの誤操作などは考えられますので、ローカルログオン/ログオフのログと入退室記録、サーバー作業記録などとを照合・監査する必要があります。ローカル ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス
ユーザー名、ドメイン名、ログオンID、ログオンタイプ
イベントID 528(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。ローカルログオンですので そのコンピュータに、何というユーザーアカウントでログオンしたかがわかります。
イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントです。ログオンIDが一致するイベントID 528(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。
ログオンタイプには 2=対話型(Interactive)、3=ネットワーク(Network)、4=バッチ(Batch)、5=サービス(Service)、7=アンロック(Unlock)、8=ネットワーククリアテキスト(NetworkCleartext)、9=新規証明書(NewCredentials)、10=リモート対話型(RemoteInteractive)、11=キャッシュ対話型(CashedInteractive)があります。よく見かけるのは、2, 3, 5 です。ローカル ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
不明なユーザー名、または既知のユーザー名と無効なパスワードを使用してログオンしようとした場合に発生するイベント。
ユーザーアカウントが 認められた時間外にログオンしようとした場合に発生するイベント。
無効なユーザーアカウントを使用してログオンしようとした場合に発生するイベント。
期限切れのアカウントを使用してログオンしようとした場合に発生するイベント。
該当コンピュータへのログオンが認められていないアカウントを使用してログオンしようとした場合に発生するイベント。
ユーザーがネットワーク、対話型、バッチ、サービス、リモート対話型など、認められていないログオンタイプでログオンしようとした場合に発生するイベント。
指定されたユーザーアカウントのパスワードの期限がきれている場合に発生するイベント。
その他の理由でログオンが失敗した場合に発生するイベント。
ユーザーアカウントがロックアウトされている状態でログオンしようとした場合に発生するイベント。
リモートコンピュータへのログオン/ログオフは、ユーザーがネットワークを経由して リモートコンピュータ(別コンピュータ)に ログオン/ログオフした際に記録されるイベントです。ログオン/ログオフの時間などを調べ、出勤簿・タイムカードなどと照合・監査する必要があります。リモート ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス
ユーザー名、ドメイン名、ログオンID、ログオンタイプ
イベントID 540(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。どこのコンピュータ、IPアドレスから、何というユーザーアカウントでログオンしたかがわかります。
イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントです。ログオンIDが一致するイベントID 540(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。
リモート ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
事前認証が失敗した場合に発生するイベント。
TGSチケットが保証されない場合に発生するイベント。
ユーザーが切断されたターミナルサービスセッションを再接続した場合に発生するイベント。
ユーザーがログオフすることなくターミナルサービスセッションを切断した場合に発生するイベント。
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、ローカルログオン/リモートログオンが同一のイベントIDに統一されています。