イベントログ ログオン監査
ここでは Windows ファイルサーバーの監査をどのように行うかを説明します。ファイルサーバーの監査では以下の3つの監査(ローカル ログオン/ログオフの監査、リモート ログオン/ログオフの監査、ファイルアクセスの監査)があります。ログオン/ログオフの監査は、ファイルサーバーに限らず、どのようなサーバーでも共通です。
ICT Tips
ローカル ログオン/ログオフの監査
ローカルコンピュータへのログオン/ログオフは、ユーザーがサーバーのデスクトップ(対話型)に ログオン/ログオフした際に記録されるイベントです。ファイルサーバーがサーバールームに設置されていて物理的なセキュリティが保たれていても、悪意のあるサーバーオペレータの操作、悪意のないサーバーオペレータの誤操作などは考えられますので、ローカルログオン/ログオフのログと入退室記録、サーバー作業記録などとを照合・監査する必要があります。ローカル ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
- イベントID= 528(ログオン)
ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス
- イベントID= 538(ログオフ)
ユーザー名、ドメイン名、ログオンID、ログオンタイプ
イベントID 528(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。ローカルログオンですので そのコンピュータに、何というユーザーアカウントでログオンしたかがわかります。
イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントです。ログオンIDが一致するイベントID 528(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。
ログオンタイプには 2=対話型(Interactive)、3=ネットワーク(Network)、4=バッチ(Batch)、5=サービス(Service)、7=アンロック(Unlock)、8=ネットワーククリアテキスト(NetworkCleartext)、9=新規証明書(NewCredentials)、10=リモート対話型(RemoteInteractive)、11=キャッシュ対話型(CashedInteractive)があります。よく見かけるのは、2, 3, 5 です。ローカル ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
- イベントID= 529(不明ユーザー)
不明なユーザー名、または既知のユーザー名と無効なパスワードを使用してログオンしようとした場合に発生するイベント。
- イベントID= 530(時間外)
ユーザーアカウントが 認められた時間外にログオンしようとした場合に発生するイベント。
- イベントID= 531(無効アカウント)
無効なユーザーアカウントを使用してログオンしようとした場合に発生するイベント。
- イベントID= 532(期限切れアカウント)
期限切れのアカウントを使用してログオンしようとした場合に発生するイベント。
- イベントID= 533(認められていないアカウント)
該当コンピュータへのログオンが認められていないアカウントを使用してログオンしようとした場合に発生するイベント。
- イベントID= 534(認められていないログオンタイプ)
ユーザーがネットワーク、対話型、バッチ、サービス、リモート対話型など、認められていないログオンタイプでログオンしようとした場合に発生するイベント。
- イベントID= 535(パスワード期限切れ)
指定されたユーザーアカウントのパスワードの期限がきれている場合に発生するイベント。
- イベントID= 537(その他理由)
その他の理由でログオンが失敗した場合に発生するイベント。
- イベントID= 539(ロックアウト)
ユーザーアカウントがロックアウトされている状態でログオンしようとした場合に発生するイベント。
リモート ログオン/ログオフの監査
リモートコンピュータへのログオン/ログオフは、ユーザーがネットワークを経由して リモートコンピュータ(別コンピュータ)に ログオン/ログオフした際に記録されるイベントです。ログオン/ログオフの時間などを調べ、出勤簿・タイムカードなどと照合・監査する必要があります。リモート ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
- イベントID= 540(ネットワーク ログオン)
ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス
- イベントID= 538(ログオフ)
ユーザー名、ドメイン名、ログオンID、ログオンタイプ
イベントID 540(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。どこのコンピュータ、IPアドレスから、何というユーザーアカウントでログオンしたかがわかります。
イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントです。ログオンIDが一致するイベントID 540(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。
リモート ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
- イベントID= 675(事前認証の失敗)
事前認証が失敗した場合に発生するイベント。
- イベントID= 677(TGSチケット未保証)
TGSチケットが保証されない場合に発生するイベント。
- イベントID= 682(ターミナルサービス再接続)
ユーザーが切断されたターミナルサービスセッションを再接続した場合に発生するイベント。
- イベントID= 683(ターミナルサービス切断)
ユーザーがログオフすることなくターミナルサービスセッションを切断した場合に発生するイベント。
Windows Vista以降のログオン/ログオフの監査
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、ローカルログオン/リモートログオンが同一のイベントIDに統一されています。
風水吉凶方位
奇門遁甲
仏像
論語
般若心経
二十四節気
菜根譚
SharePoint
OneNote
ICT