ドメインログオン診断 ICT Tips

ドメインログオン診断

ドメインログオンは Active DirectryドメインコントローラにクライアントPCからユーザがログインした場合に発生するイベントです。診断項目は、以下の通りです。
・ログオンの失敗
・時刻同期の問題
・ターミナルサービス攻撃

ログオンの失敗

イベント ID 675 と 677 は、攻撃者がドメインユーザー名とパスワードの組み合わせを試行して失敗した場合に記録されます。ユーザーのうっかりミスならば問題はありませんが、それ以外のケースでは (組織内/外の)不正アクセス者が不正操作を開始しようとしているので「ユーザーのパスワードを定期的に変更する」などの対策が必要です。

イベントID= 675: 事前認証が失敗しました。
イベントID= 677: TGS チケットは保証されませんでした。

時刻同期の問題

クライアントコンピュータのシステム時刻が認証ドメインコントローラのシステム時刻と (既定では) 5 分以上異なる場合、セキュリティログにイベント ID 675 が記録されます。サーバー、クライアントなどで時刻同期が行われていないと、情報漏えいなどのセキュリティ事故が発生した際に各種ログの整合性がとれず問題となります。

イベントID= 675: 事前認証が失敗しました。

ターミナルサービス攻撃

イベントID 683 はユーザーがターミナルサービスセッションからログアウトしていないことを示し、イベントID 682 は既に切断されたセッションへの接続が発生したことを示します。ターミナルサービス攻撃とはターミナルサービスの脆弱性をつきメモリリークを発生させるなどの攻撃です。 Windows Updateなどの対策などを講じていれば通常は問題となりませんが、イベントID 683、682 が多発しているのであれば同種の攻撃の可能性があります。

イベントID= 682: ユーザーが切断されたターミナルサービスセッションに再接続しました。
イベントID= 683: ユーザーは、ログオフすることなくターミナルサービスセッションを切断しました。