Reading Time: 1 minutesWindowsのログオン成功イベントに注目 イベントビューア上に出力されるイベントID:4624は、ローカルコンピューター上で発生したログオン成功イベントを記録しています。このイベントは、アクセスのあったコンピューター上、言い換えればログオンセッションが生成されたコンピューター上に生成されます。対するイベントID:4625は、ログオン失敗イベントが発生した際に生成されるイベントログとなり、こちらについては次回で詳しくご紹介していきたいと思います。 イベントID:4624は、以下のOSに出力されます。 Windows 7,... >>続きを読む
イベントログ
Windowsのログオン失敗イベントを監査【連載:ここに注目!セキュリティログをご紹介】
Reading Time: 1 minutesWindowsのログオン失敗イベントに注目 イベントビューア上に出力されるイベントID:4625は、ローカルコンピューター上で発生したログオン失敗イベントを記録しています。このイベントは、ログオンの試行があったコンピューター上に生成されます。 イベントID:4625が出力されるOSは、以下の通りです。 Windows 7,... >>続きを読む
Active Directoryのログオン認証を監査するには(後編)
Reading Time: 1 minutes 本投稿の前編では、イベントビューアーを使用したログオン認証の監査方法についてご案内しましたが、後編では、弊社製品ADAudit Plusを使用した場合の確認方法についてご紹介します。 楽々!わかりやすい!ADAudit Plusを使用したログオン認証イベントの確認方法... >>続きを読む
Active Directoryのログオン認証を監査するには(前編)
Reading Time: 1 minutes目次 イベントビューアーを使用したログオン認証イベントの確認方法 イベントログ出力のために必要な監査ポリシーの設定 もっと簡単に確認できるツール Windows... >>続きを読む
Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知-
Reading Time: 1 minutesActive Directory環境下のコンピューターが、ドメイン認証によりログオンを行う場合、通常はドメインコントローラーと通信を行い認証する必要があります。しかし、例えば外出時など、ドメインコントローラーと通信ができない場合でも、ドメインアカウントでPCへログオンできるように、実はハッシュ化されたパスワード情報が、コンピューター内にキャッシュされています。 過去にそのコンピューターに対して、ソフトウェアのインストールやメンテナンスなどの様々な理由により、高権限を持つドメインのアカウントによって一度でもログオンを行ったことがある場合は、マルウェアやハッキングなどの不正アクセスにより、高権限のパスワード情報が簡単に盗まれてしまう可能性があります。 ここで、以下のような疑問を持つ方もいるかもしれません。 「でも、パスワードがハッシュ化されているのならば、仮に盗まれたとしても問題ないのでは?」... >>続きを読む
EventLog Analyzerの検索機能
Reading Time: 1 minutesたとえ小規模のネットワーク環境であっても、日々膨大なログデータが出力されます。そのログの中には重要性の低いログが大量に出力されていた場合、ネットワークセキュリティにおいてクリティカルな情報を持つ、重要度の高いログを見過ごしてしまうかもしれません。 そのようなクリティカルなログを見過ごさないために、ログデータから効率的に検索することができるメカニズムが必要になります。 特定条件でログを検索するには、例えば以下のクエリを実行する方法があります: USERNAME=”John” AND... >>続きを読む