定期監査中にイベント ビューアーでイベント ID 4624、アカウントが正常にログオンしましたというメッセージを目にすることがよくあります。しかし、これはコンピューターに正常にログインするたびに生成される通常の Windows セキュリティ ログなので、心配する必要はありません。そのため、ユーザーのログイン履歴を確認する必要がある場合は、イベント ID 4624 を探す必要があります。
ただし、見覚えのないアカウントがあったり、アカウントがハッキングされたのではないかと疑ったりする場合は、懸念事項となります。その場合は、イベント ビューアーで Windows セキュリティ ログを適切に確認して、脅威を特定し、それに応じて排除する必要があります。
イベント ID 4624、アカウントが正常にログオンしました
ここで、Windows イベント ID 4624 についてすべてを理解し、問題を検出する方法について詳しく説明します。
4624 イベント ID とは何ですか?
Windows イベント ログのイベント ID 4624 は、宛先コンピューターでのすべての正常なログイン セッションを示します。この監査設定は、アクセスしたマシンとセッションを作成したマシンで生成されます。そのため、誰かがコンピューターを覗き見している場合は、これが探すべきイベント ID です。
さらに、これは誰が (ユーザーが) どのアカウントからログインしたかを正確に示す非常に貴重な情報です。これについては、新しいログオンフィールドを確認して、以下の詳細を確認できます。
- セキュリティ ID
- アカウント名
- アカウント ドメイン
- ログイン ID
ただし、イベント ID 4624 に関連する他のプロパティについても以下で説明します。
注意– この監査設定は、ローカル セキュリティ ポリシーまたはグループ ポリシー エディター(gpedit.msc) で構成できます。その後、監査オプションを変更して、セキュリティ上の目的でログインが成功したことを確認できます。ただし、これらの設定はローカル コンピューターでのみイベントを記録でき、ドメイン コントローラーでは記録できません。
Windows イベント ID 4624 のプロパティ
イベント ID のプロパティは、全般タブにあります。ここでは、以下のフィールドがあります。
1] サブジェクト
セキュリティ ID (SID):
ログインが成功したことを示します。
アカウント名
ログインが成功したアカウントの名前です。これにより、それが正当なアカウントであるかどうかを識別するのに役立ちます。
アカウント ドメイン
イベントを記録したアカウント/コンピューター名のドメインは、トラブルシューティングに役立ちます。
ログオン ID
このイベントと同じログオン ID を持つ最近のイベントとこのイベントを関連付けるのに役立つ 16 進数値を示します。さらに、イベントに関する問題を特定し、それに応じてトラブルシューティングするのに役立ちます。
2] ログオン情報
このプロパティには、以下が含まれます。
ログオンの種類
| ログオンの種類 | ログオンのタイトル | 説明 |
|---|---|---|
| 0 | システム | システム アカウントのみで使用されます (システムの起動時など)。 |
| 2 | 対話型 | ユーザーがこのコンピューターにログオンしました。 |
| 3 | ネットワーク | ユーザーまたはコンピューターがネットワークから現在のワークステーションにログオンしました。 |
| 4 | バッチ | バッチ サーバーで使用され、プロセスはユーザーの直接の関与なしにユーザーの代わりに実行される場合があります。 |
| 5 | サービス | サービスがサービス制御マネージャーによって開始されました。 |
| 7 | ロック解除 | このコンピューターのロックが解除されました。 |
| 8 | ネットワーククリアテキスト | ユーザーがネットワークからこのコンピューターにログオンしました。ユーザーのパスワードは、ハッシュ化されていない形式で認証パッケージに渡されました。組み込みの認証パッケージはすべて、ネットワーク経由で送信する前に資格情報をハッシュ化します。資格情報はプレーンテキスト (クリアテキストとも呼ばれます) でネットワークを通過しません。 |
| 9 | 新しい資格情報 | 呼び出し元が現在のトークンを複製し、送信接続用に新しい資格情報を指定しました。新しいログオン セッションは同じローカル ID を持ちますが、他のネットワーク接続には異なる資格情報を使用します。 |
| 10 | リモート対話型 | ユーザーがターミナル サービスまたはリモート デスクトップを使用してリモートからこのコンピューターにログオンしました。 |
| 11 | キャッシュされた対話型 | ユーザーがコンピューターにローカルに保存されていたネットワーク資格情報を使用してこのコンピューターにログオンしました。ドメイン コントローラーに連絡して資格情報を検証しませんでした。 |
| 12 | キャッシュされたリモート対話型 | リモート対話型と同じです。これは内部監査に使用されます。 |
| 13 | キャッシュされたロック解除 | ワークステーションのログオン。 |
*データ提供– Microsoft
制限付き管理者モード
これは、ターミナル サービスまたはリモート デスクトップを介してユーザーがリモートで正常にログオンした場合にのみ表示されます。制限付き管理者モードの値はブール値であり、つまり、はいまたはいいえです。
仮想アカウント
繰り返しになりますが、仮想アカウントの値ははいまたはいいえです。これは、正常なログオンを記録したアカウントが仮想アカウントであるかどうかを示します。たとえば、管理されるサービス アカウント。
昇格されたトークン
これもまた、正常なログオン (イベント ID 4624) を開始したアカウントが管理者アカウントであるかどうかを示すはいまたはいいえフィールドです。
3] なりすましレベル
このフィールドは、ログイン セッションのプロセスがどの程度なりすまし (シミュレート) されるかを示します。サーバーがクライアントになりすますことを許可する権限のレベルです。4 つの異なるレベルは、匿名、識別、なりすまし、委任です。
4]新しいログオン
これは実際にログオンしてログオン セッションが作成されたアカウントです。コンピューター名をアカウント ドメインと比較して、ローカルかドメインかを識別できます。一致すればローカルです。一致しなければ、ドメイン アカウントです。
さらに、アカウント情報とネットワーク情報という 2 つのカテゴリに分類されます。
アカウント情報
- セキュリティ ID– Windows セキュリティ イベント ID 4624 の正常なログオンを記録した SID。
- アカウント名– 正常なログオンを実行します。
- アカウント ドメイン– ドメイン名は、小文字または大文字のいずれかの以下の形式のいずれかになります。ドメインのNetBIOS名。ただし、アカウント ドメインにNT AUTHORITYが表示されている場合は、ログオン アカウントがLOCAL SERVICEまたはANONYMOUS LOGONであることを意味します。
- ログオン ID– トラブルシューティングに役立つ 16 進数値が表示されます。
- リンクされたログオン ID– ログオン セッションに関連する 16 進数値です。関連するログオン イベントがない場合、値は 0x0 です。
- GUID– 2 つのイベントをリンクできます。そのうちの 1 つはイベント ID 4624 で、もう 1 つは同じ GUID を持つイベントです。これにより、潜在的な脅威を特定するのに役立ちます。
ネットワーク情報
- ネットワーク アカウント名 – NewCredentialsログオンの種類にのみ関連しますが、ログオンの種類が別の場合は、ネットワーク アカウント名は「–」として記録されます。
- ネットワーク アカウント ドメイン – NewCredentialsログオンの種類にのみ適用されます。ユーザーがネットワーク接続を作成する場合は、このフィールドで指定されているドメイン名を使用する必要があります。ただし、ログオンの種類が別の場合は、「–」として記録されます。
5] プロセス情報
このフィールドには、正常なログオン イベントを記録したプロセスに関する詳細が記載されています。
- プロセス ID– Windows と他の OS がプロセスを一意に識別するために使用する 16 進数値が表示されます。現在 Windows PC で実行されているすべてのプロセスのプロセス IDを表示するには、PowerShellを起動し、Get-Processコマンドを実行してEnterキーを押します。次に、イベント ID 4624 でプロセス IDの 16 進数値を 10 進数に変換します。これにより、プロセス ID をGet-ProcessPowerShell コマンドによって生成された ID の 1 つと比較できます。
- プロセス名– 正常なログオンを記録します。
6] ネットワーク情報
このセクションでは、トラブルシューティングの目的に関連する重要な情報が提供されます。たとえば、ユーザーがログインしたコンピューター、PC の IP アドレス、使用されたポートなどです。
- ワークステーション名– ユーザーがログインした PC の名前を記録します。
- ソース ネットワーク アドレス– ユーザーがログインした PC の IP アドレスを登録します。
- ソース ポート– ログインに使用されたリモート マシンの元の TCP ポートを記録します。
7] 詳細な認証情報
このフィールドは、認証プロセスの開始方法を表します。認証とパッケージが使用されたプロセスの記録を保持します。また、通過サービス、パッケージ名、キー長などの他の詳細も表示されます。
- ログオン プロセス– システムが Windows イベント ID 4624 を記録したときに、ユーザーがログオンに使用した認証済みログオン プロセスの名前が表示されます。
- 認証パッケージ– このコンピューターにログオンするために使用された認証パッケージの種類を登録します。
- 通過サービス– 送信されたサービスのみを表示します (Kerberos のみ)。
- パッケージ名– ログオン要求が NTLM プロトコルによって認証された場合、NTLM バージョンを記録します。
- キー長– NTLM 認証プロトコルにのみ適用されます。その他の場合、フィールドは0を返します。
さらに、イベント ID 4624 の場合、Microsoft には状況に基づいて必要な監視の種類に関する追加の推奨事項があります。
イベント ID 4625 とは何ですか?
イベント ID 4625 は、ユーザーがローカル コンピューターにログインできなかった場合に登録されます。このイベントは、ユーザーがログインしようとしたデバイスに登録されます。さらに、ログインの失敗を特定するには、イベント ID 4625 を持つ Windows イベント ログを検索するのに役立つ PowerShell スクリプトを作成できます。
イベント ID 4634 とは何ですか?
イベント ID 4634 は、アカウントがログオフされたことを示します。つまり、ログオン セッションが終了する (ログアウトされる) たびに、イベント 4634 が生成されます。ただし、これはユーザーがログオフを開始したことを示すイベント ID 4647 とは異なります。この場合、セッションが実行されておらず、終了したことを単に登録します。
コメントする