ローカルログオン診断

Windowsサーバにデスクトップログイン(マシンに直接にログイン)した場合、正しいユーザーであれば正しくログインされますが、不正なユーザーがユーザー・パスワードを推測で入力してログインしたりするケースが考えられます。不正な操作は ログインの失敗などのイベントログとして記録されますので、それらのログが発生していないかをチェックする必要があります。

診断項目は、以下の通りです。
・ローカル ログオンの失敗
・アカウントの誤用
・ロックアウト

ローカル ログオンの失敗

ローカルログオンの失敗のイベントログは、ローカル アカウントのユーザー名とパスワードの組み合わせを試行して失敗した場合に記録されます。ユーザーがパスワードを忘れたり、[マイ ネットワーク] を通したネットワーク参照を開始した場合にも記録されます。システム管理者の うっかりミスならば 問題はありませんが、それ以外のケースでは (組織内/外の)不正アクセス者が 不正操作を開始しようとしているので 「サーバーの物理的セキュリティを高める」、「管理者アカウントのパスワードを変更する」などの対策が必要です。ローカル ログオンの失敗に関するイベントログは、イベントログ・セキュリティに「失敗の監査」で記録されます。

イベントID= 529

不明なユーザー名、または既知のユーザー名と無効なパスワードを使用してログオンしようとしました。

イベントID= 530

ユーザー アカウントは、認められた時間外にログオンしようとしました。

イベントID= 531

無効なアカウントを使用してログオンしようとしました。

イベントID= 532

期限切れのアカウントを使用してログオンしようとしました。

イベントID= 533

このコンピュータへのログオンが認められていないユーザーがログオンしようとしました。

イベントID= 534

ユーザーが、ネットワーク、対話型、バッチ、サービス、リモート対話型など、認められていないログオンの種類を使用してログオンしようとしました。

イベントID= 537

その他の理由でログオンが失敗しました。

アカウントの誤用

アカウントの誤用のイベントログは、ユーザーアカウントとパスワードの組み合わせは正しく入力されているが、他の制限(無効、期限切れ、時間外など)のためログオンが失敗するケースです。ユーザーアカウントの誤用が発生しているかどうか、または現行の制限事項を変更する必要があるかどうかを判断する必要があります。アカウントの誤用に関するイベントログは、イベントログ・セキュリティに「失敗の監査」で記録されます。

イベントID= 530

ユーザー アカウントは、認められた時間外にログオンしようとしました。

イベントID= 531

無効なアカウントを使用してログオンしようとしました。

イベントID= 532

期限切れのアカウントを使用してログオンしようとしました。

イベントID= 533

このコンピュータへのログオンが認められていないユーザーがログオンしようとしました。

ロックアウト

ロックアウトのイベントログは、パスワード攻撃が失敗したことを示している可能性があります。同一ユーザーによるイベント ID 529(不明なユーザー名または無効なパスワードによるログイン) がこれ以前に発生しているかどうかを確認し、ログオン試行のパターンを確認する必要があります。ロックアウトとは 同一のユーザーが 連続してパスワードを間違えてログインを試行した場合に、Windowsシステムがそのユーザーをログインできないようにする仕組みです。システム管理者がユーザーのロックアウトを解除すれば 再びログインできるようになります。ロックアウトに関するイベントログは、イベントログ・セキュリティに「失敗の監査」で記録されます。

イベントID= 539

ログオンしようとした時点で、そのアカウントはロックアウトされていました。

Windows Vista以降の ローカル ログオン診断

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4625

ログオンの失敗
ユーザーなし、パスワード間違いなど、すべての失敗が このイベントIDになります。



風水吉凶方位 風水吉凶方位 |  奇門遁甲 奇門遁甲 |  金運神社 金運神社 |  仏像 仏像 |  論語 論語 |  般若心経 般若心経 |  二十四節気 二十四節気 |  菜根譚 菜根譚 |  SharePoint活用 SharePoint |  OneNote活用 OneNote |  ICT活用 ICT