ドメインログオン診断

ドメインログオンは Active Directryドメインコントローラに クライアントPCからユーザがログインした場合に発生するイベントです。診断項目は、以下の通りです。
・ログオンの失敗
・時刻同期の問題
・ターミナルサービス攻撃

ログオンの失敗

イベント ID 675 と 677 は、攻撃者がドメイン ユーザー名とパスワードの組み合わせを試行して失敗した場合に記録されます。ユーザーの うっかりミスならば 問題はありませんが、それ以外のケースでは (組織内/外の)不正アクセス者が 不正操作を開始しようとしているので 「ユーザーのパスワードを定期的に変更する」などの対策が必要です。

イベントID= 675

事前認証が失敗しました。

イベントID= 677

TGS チケットは保証されませんでした。

時刻同期の問題

クライアント コンピュータのシステム時刻が認証ドメイン コントローラのシステム時刻と (既定では) 5 分以上異なる場合、セキュリティ ログにイベント ID 675 が記録されます。サーバー、クライアントなどで 時刻同期が行われていないと、情報漏えいなどのセキュリティ事故が発生した際に 各種ログの整合性がとれず問題となります。

イベントID= 675

事前認証が失敗しました。

ターミナルサービス攻撃

イベントID 683 はユーザーがターミナル サービス セッションからログアウトしていないことを示し、イベントID 682 は既に切断されたセッションへの接続が発生したことを示します。ターミナルサービス攻撃とは ターミナルサービスの脆弱性をつき メモリリークを発生させるなどの攻撃です。 Windows Updateなどの対策などを講じていれば 通常は問題となりませんが、イベントID 683、682 が多発しているのであれば 同種の攻撃の可能性があります。

イベントID= 682

ユーザーが切断されたターミナル サービス セッションに再接続しました。

イベントID= 683

ユーザーは、ログオフすることなくターミナル サービス セッションを切断しました。

Windows Vista以降の ドメイン ログオン診断

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4625

ログオンの失敗
ユーザーなし、パスワード間違いなど、すべての失敗が このイベントIDになります。



風水吉凶方位 風水吉凶方位 |  奇門遁甲 奇門遁甲 |  金運神社 金運神社 |  仏像 仏像 |  論語 論語 |  般若心経 般若心経 |  二十四節気 二十四節気 |  菜根譚 菜根譚 |  SharePoint活用 SharePoint |  OneNote活用 OneNote |  ICT活用 ICT