ランディフランクリンスミス(CISA、SSCP、セキュリティMVP)には、Windows情報セキュリティを確保するために監視する必要があるイベント(イベントID)を示す非常に有用なドキュメントがあります。 このドキュメントは、通常の監査システムから最大限の成果を「絞り出す」ための非常に役立つ情報を提供します。 この資料の翻訳を準備しました。 興味のある方は猫を歓迎します
私たちはすでに、投稿の1つで監査を設定する方法について広範囲に書いています。 ただし、イベントログで発生するすべてのイベントIDのうち、いくつかの重要なものに焦点を合わせる必要があります。 誰もが決定するものです。 ただし、Randy Franklin Smithは、10の重要なWindowsセキュリティイベントに焦点を当てることを提案しています。
ドメインコントローラー
イベントID-(カテゴリ)-説明
1) 675または4771
(ログインイベントの監査)
ドメインコントローラー上のイベント675/4771は、ドメインアカウントを持つワークステーションでKerberosを介してログインに失敗したことを示します。 通常、この理由は不適切なパスワードですが、エラーコードは認証が失敗した理由を示しています。 Kerberosエラーコード表を以下に示します。
2) 676、または672または4768に失敗しました
(ログインイベントの監査)
他のタイプの失敗した認証については、イベント676/4768が記録されます。 Kerberosコードテーブルを以下に示します。
注意:Windows 2003 Serverでは、失敗イベントは676ではなく672として記録されます。
3) 681または失敗680または4776
(ログインイベントの監査)
ドメインコントローラーのイベント681/4776は、ログイン試行の失敗を示します
ドメインアカウントを持つNTLM。 エラーコードは、認証が失敗した理由を示します。
NTLMエラーコードは以下のとおりです。
注意:Windows 2003 Serverでは、障害イベントは681ではなく680として記録されます。
4) 642または4738
(アカウント管理監査)
イベント642/4738は、パスワードのリセットや以前に非アクティブ化されたアカウントのアクティブ化など、指定されたアカウントへの変更を示します。 イベントの説明は、変更のタイプに従って指定されます。
5) 632または4728; 636または4732; 660または4756
(アカウント管理監査)
3つのイベントはすべて、指定されたユーザーが特定のグループに追加されたことを示します。 グローバル、ローカル、およびユニバーサルは、各IDに対してそれぞれ指定されます。
6) 624または4720
(アカウント管理監査)
新しいユーザーアカウントが作成されました。
7) 644または4740
(アカウント管理監査)
指定されたユーザーアカウントは、数回のログイン試行後にブロックされました
8) 517または1102
(システムイベントの監査)
指定されたユーザーはセキュリティログをクリアしました
ログインとログアウト(ログオン/ログオフ)
イベントID説明
528または4624-成功したログイン
529または4625-ログインの失敗-不明なユーザー名または無効なパスワード
530または4625ログイン失敗-指定された期間ログインに失敗しました。
531または4625-ログオン失敗-アカウントが一時的に無効化されました
532または4625-ログイン失敗-指定されたアカウントの有効期限が切れています
533または4625-ログオンの失敗-ユーザーはこのコンピューターにログオンできません
534または4625または5461-ログイン拒否-ユーザーはこのコンピューターで要求されたログインタイプを許可されませんでした
535または4625-ログイン失敗-指定されたアカウントパスワードの有効期限が切れています
539または4625-ログインが拒否されました-アカウントがロックアウトされました
540または4624-ネットワークログオンの成功(Windows 2000、XP、2003のみ)
ログオンの種類
ログインタイプ-説明
2-インタラクティブ(キーボードまたはシステム画面からの入力)
3-ネットワーク(たとえば、ネットワークまたはIISログインのどこからでもこのコンピューターの共有フォルダーに接続する-Windows Server 2000以降で528にログインしない。イベント540を参照)
4-バッチ(スケジュールされたタスクなど)
5-サービス(サービス開始)
7-ロック解除(たとえば、パスワードで保護されたスクリーンセーバーを備えた無人ワークステーション)
8 -NetworkCleartext(プレーンテキストで送信される資格情報を使用したログイン。多くの場合、「基本認証」を使用したIISログインを指します)
9 -NewCredentials
10 -RemoteInteractive(ターミナルサービス、リモートデスクトップ、またはリモートアシスタンス)
11 -CachedInteractive(キャッシュされたドメインのアクセス許可でのログオン、たとえば、ネットワーク上にないワークステーションへのログオン)
Kerberosエラーコード
エラーコード-原因
6-ユーザー名が存在しません
12-作業機械の制限。 ログインの制限時間
18-アカウントが非アクティブ化されているか、ブロックされているか、有効期限が切れています
23-ユーザーパスワードの有効期限が切れています
24-事前認証に失敗しました。 通常、理由は不正なパスワードです
32-アプリケーションの有効期限が切れています。 これは、コンピューターアカウントにログインする通常のイベントです。
37-長時間、作業中のマシンの時刻がドメインコントローラーの時刻と同期されていない
NTLMエラーコード
エラーコード(10進システム)-エラーコード(16進システム)-説明
3221225572-C0000064-このユーザー名は存在しません
3221225578-C000006A-ユーザー名は正しいが、パスワードが正しくない
3221226036-C0000234-ユーザーアカウントがロックされています
3221225586-C0000072-アカウントは非アクティブ化されています
3221225583-C000006F-ユーザーが指定された期間(勤務時間)外にログインしようとしています
3221225584-C0000070-ワークステーションの制限
3221225875-C0000193-アカウントの有効期限が切れています
3221225585-C0000071-パスワードの有効期限が切れています
3221226020-C0000224-ユーザーは次回ログイン時にパスワードを変更する必要があります
もう一度、リンクを複製して、Randy Franklin SmithのWebサイトwww.ultimatewindowssecurity.com/securitylog/quickref/Default.aspxにドキュメントをダウンロードします。 アクセスするには、短いフォームに記入する必要があります。
PSイベントログを使用して作業を完全に自動化しますか? NetWrix Event Log Manager 4.0の新しいバージョンをお試しください。これは、イベントログの収集とアーカイブ、レポートの作成、リアルタイムアラートの生成を行います。 このプログラムは、ネットワーク上の多数のコンピューターからデータを収集し、重要なイベントについて警告し、アーカイブされたログデータを分析しやすいように、すべてのイベントのデータを圧縮形式で一元的に保存します。 プログラムの無料版は、10台のドメインコントローラーと100台のコンピューターで利用できます。