アカウント管理診断

不正アクセス者がドメインログインを成功させた場合、次にアカウント作成や 状態変更などをおこないます。これらの攻撃の兆候を見逃さないために、セキュリティログ診断は定期的に行う必要があります。診断項目は、以下の通りです。
・ユーザーの作成
・パスワードの変更
・アカウント状態の変更
・グループの変更
・ロックアウト

ユーザーの作成

ユーザー アカウントが作成され、有効にされたことを示します。アカウント作成を組織内の特定の人物のみに制限している場合、権限のない人物がユーザー アカウントを作成したかどうかを特定するのにこれらのイベントが使用できます。

イベントID= 624

ユーザー アカウントが作成されました。

イベントID= 626

ユーザー アカウントが有効にされました。

パスワードの変更

パスワードの変更が試行され成功したことを示します。パスワードがそのユーザー以外の人物によって変更されている場合、そのアカウントがほかのユーザーによって乗っ取られた可能性があります。

イベントID= 627

パスワードの変更が試行されました。

イベントID= 628

ユーザー アカウントのパスワードが設定されました。

アカウント状態の変更

ユーザーアカウントの有効化/無効化/削除を示します。攻撃者が攻撃時に使用したアカウントを無効または削除することで、痕跡を隠蔽しようとする可能性があります。

イベントID= 626

ユーザー アカウントが有効にされました。

イベントID= 629

ユーザー アカウントが無効にされました。

イベントID= 630

ユーザー アカウントが削除されました。

グループの変更

グループの変更

イベントID 632と633は グローバル グループ メンバシップの変更、イベントID 636と637はドメイン ローカル グループ メンバシップの変更を示します。

イベントID= 632

セキュリティが有効なグローバル グループ メンバが追加されました。

イベントID= 633

セキュリティが有効なグローバル グループ メンバが削除されました。

イベントID= 636

セキュリティが有効なローカル グループ メンバが追加されました。

イベントID= 637

セキュリティが有効なローカル グループ メンバが削除されました。

ロックアウト

アカウントがロックアウトされた場合、2 つのイベントが PDC エミュレータの操作マスタに記録されます。イベントID 644 はアカウント名がロックアウトされたことを、イベントID 642はユーザー アカウントが変更され、そのアカウントが今ではロックアウトされていることを示しています。このイベントは、PDC エミュレータでのみ記録されます。PDC エミュレータとは、混在モードのActive Directoryドメインに最初に構築されたドメインコントローラの「役割」のことで、Windows NTドメインにおける PDC(Primary Domain Controller)と互換性があります。

イベントID= 642

ユーザー アカウントが変更されました。

イベントID= 644

ユーザー アカウントがロック アウトされました。

Windows Vista以降の アカウント診断

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4720

ユーザアカウントの作成

イベントID= 4722

ユーザアカウントの有効化

イベントID= 4723

ユーザアカウントのパスワード変更

イベントID= 4724

ユーザアカウントのパスワード設定

イベントID= 4725

ユーザアカウントのパスワード無効化

イベントID= 4726

ユーザアカウントの削除

イベントID= 4738

ユーザアカウントの変更

イベントID= 4740

ユーザアカウントのロックアウト

イベントID= 4727

セキュリティが有効なグローバルグループの作成

イベントID= 4728

セキュリティが有効なグローバルグループメンバの追加

イベントID= 4729

セキュリティが有効なグローバルグループメンバの削除

イベントID= 4730

セキュリティが有効なグローバルグループの削除

イベントID= 4731

セキュリティが有効なローカルグループの作成

イベントID= 4732

セキュリティが有効なローカルグループメンバの追加

イベントID= 4733

セキュリティが有効なローカルグループメンバの削除

イベントID= 4734

セキュリティが有効なローカルグループの削除

イベントID= 4735

セキュリティが有効なローカルグループの変更

イベントID= 4737

セキュリティが有効なグローバルグループの変更

イベントID= 4744

セキュリティが無効なローカルグループの作成

イベントID= 4745

セキュリティが無効なローカルグループの変更

イベントID= 4746

セキュリティが無効なローカルグループメンバの追加

イベントID= 4747

セキュリティが無効なローカルグループメンバの削除

イベントID= 4748

セキュリティが無効なローカルグループの削除

イベントID= 4749

セキュリティが無効なグローバルグループの作成

イベントID= 4750

セキュリティが無効なグローバルグループの変更

イベントID= 4751

セキュリティが無効なグローバルグループメンバの追加

イベントID= 4752

セキュリティが無効なグローバルグループメンバの削除

イベントID= 4753

セキュリティが無効なグローバルグループの削除

イベントID= 4754

セキュリティが有効なユニバーサルグループの作成

イベントID= 4755

セキュリティが有効なユニバーサルグループの変更

イベントID= 4756

セキュリティが有効なユニバーサルグループメンバの追加

イベントID= 4757

セキュリティが有効なユニバーサルグループメンバの削除

イベントID= 4758

セキュリティが有効なユニバーサルグループの削除

イベントID= 4759

セキュリティが無効なユニバーサルグループの作成

イベントID= 4760

セキュリティが無効なユニバーサルグループの変更

イベントID= 4761

セキュリティが無効なユニバーサルグループメンバの追加

イベントID= 4762

セキュリティが無効なユニバーサルグループメンバの削除

イベントID= 4763

セキュリティが無効なユニバーサルグループの削除



風水吉凶方位 風水吉凶方位 |  奇門遁甲 奇門遁甲 |  金運神社 金運神社 |  仏像 仏像 |  論語 論語 |  般若心経 般若心経 |  二十四節気 二十四節気 |  菜根譚 菜根譚 |  SharePoint活用 SharePoint |  OneNote活用 OneNote |  ICT活用 ICT