イベントログ ドメインログオン診断
ここでは、Windowsサーバーのセキュリティ診断・ドメイン ログオンについて説明します。
ドメインログオンは Active Directryドメインコントローラに クライアントPCからユーザがログインした場合に発生するイベントです。診断項目は、以下の通りです。
・ログオンの失敗
・時刻同期の問題
・ターミナルサービス攻撃
イベント ID 675 と 677 は、攻撃者がドメイン ユーザー名とパスワードの組み合わせを試行して失敗した場合に記録されます。ユーザーの うっかりミスならば 問題はありませんが、それ以外のケースでは (組織内/外の)不正アクセス者が 不正操作を開始しようとしているので 「ユーザーのパスワードを定期的に変更する」などの対策が必要です。
事前認証が失敗しました。
TGS チケットは保証されませんでした。
クライアント コンピュータのシステム時刻が認証ドメイン コントローラのシステム時刻と (既定では) 5 分以上異なる場合、セキュリティ ログにイベント ID 675 が記録されます。サーバー、クライアントなどで 時刻同期が行われていないと、情報漏えいなどのセキュリティ事故が発生した際に 各種ログの整合性がとれず問題となります。
事前認証が失敗しました。
イベントID 683 はユーザーがターミナル サービス セッションからログアウトしていないことを示し、イベントID 682 は既に切断されたセッションへの接続が発生したことを示します。ターミナルサービス攻撃とは ターミナルサービスの脆弱性をつき メモリリークを発生させるなどの攻撃です。 Windows Updateなどの対策などを講じていれば 通常は問題となりませんが、イベントID 683、682 が多発しているのであれば 同種の攻撃の可能性があります。
ユーザーが切断されたターミナル サービス セッションに再接続しました。
ユーザーは、ログオフすることなくターミナル サービス セッションを切断しました。
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。
ログオンの失敗
ユーザーなし、パスワード間違いなど、すべての失敗が このイベントIDになります。