Reading Time: 1 minutesWindowsのログオン成功イベントに注目 イベントビューア上に出力されるイベントID:4624は、ローカルコンピューター上で発生したログオン成功イベントを記録しています。このイベントは、アクセスのあったコンピューター上、言い換えればログオンセッションが生成されたコンピューター上に生成されます。対するイベントID:4625は、ログオン失敗イベントが発生した際に生成されるイベントログとなり、こちらについては次回で詳しくご紹介していきたいと思います。 イベントID:4624は、以下のOSに出力されます。 Windows 7,... >>続きを読む
セキュリティログ
Windowsのログオン失敗イベントを監査【連載:ここに注目!セキュリティログをご紹介】
Reading Time: 1 minutesWindowsのログオン失敗イベントに注目 イベントビューア上に出力されるイベントID:4625は、ローカルコンピューター上で発生したログオン失敗イベントを記録しています。このイベントは、ログオンの試行があったコンピューター上に生成されます。 イベントID:4625が出力されるOSは、以下の通りです。 Windows 7,... >>続きを読む
“管理者権限”のログオン失敗のアクセス元IPアドレスを追跡する
Reading Time: 1 minutes特権管理者権限への権限奪取は多くの場合、最初から成功しているわけではありません。攻撃者は一つ、あるいは複数の認証情報によるブルートフォースと呼ばれる手法でログオンを試みますが、ログオンが成功するまでに、それぞれのアカウントで何度も失敗します。 つまりログオン認証の失敗を監視することは、権限奪取を事前に止めることにつながるのです! しかし、大量のユーザー認証失敗記録を監視することはとても大変な作業です。もし管理者権限を持つユーザーアカウントの名前を分かっていたとしても、各ドメインコントローラーのログを監視するということは、不可能ではないとしても、大変骨の折れる作業となります。各ドメインコントローラーのセキュリティログを利用して、管理者権限をもつユーザーのログオン失敗記録を手動で監視しようとする場合、以下の問題を考慮しなければいけません: ● 各ドメインコントローラーには独自のセキュリティログが含まれており、複製は出来ない... >>続きを読む