ログオン イベントの監査
[一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。本書に記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。]
デバイスでのユーザーのログオンまたはログオフの各インスタンスを監査するかどうかを決定します。
アカウント ログオン イベントは、ドメイン アカウント アクティビティの場合はドメイン コントローラーで、ローカル アカウント アクティビティの場合はローカル デバイスで生成されます。アカウント ログオンおよびログオン監査ポリシー カテゴリが両方とも有効になっている場合、ドメイン アカウントを使用するログオンはワークステーションまたはサーバーでログオンまたはログオフ イベントを生成し、ドメイン コントローラーでアカウント ログオン イベントを生成します。さらに、ドメイン アカウントを使用するメンバー サーバーまたはワークステーションへの対話型ログオンは、ログオン スクリプトとしてドメイン コントローラーでログオン イベントを生成し、ユーザーがログオンしたときにポリシーが取得されます。アカウント ログオン イベントの詳細については、「アカウント ログオン イベントの監査」を参照してください。
このポリシー設定を定義する場合、成功を監査するか、失敗を監査するか、またはすべてのイベントの種類を監査しないかを指定できます。成功の監査は、ログオンが成功すると監査エントリを生成します。失敗の監査は、ログオンが失敗すると監査エントリを生成します。
この値を [監査しない] に設定するには、このポリシー設定の [プロパティ] ダイアログ ボックスで、[これらのポリシーの設定を定義する] チェック ボックスを選択して [成功] と [失敗] のチェック ボックスをオフにします。
この監査設定の構成
コンピューターの構成\Windows 設定\セキュリティの設定\ローカル ポリシー\監査ポリシーの下にある適切なポリシーを開くことでこのセキュリティ設定を構成できます。
| ログオン イベント | 説明 |
|---|---|
| 528 | ユーザーがコンピューターに正常にログオンしました。ログオンの種類については、次のログオンの種類の表を参照してください。 |
| 529 | ログオンに失敗しました。不明なユーザー名、または既知のユーザー名と正しくないパスワードでのログオンが試みられました。 |
| 530 | ログオンに失敗しました。ログオンが試みられ、ユーザー アカウントにより許可された時間外でのログオンが試みられました。 |
| 531 | ログオンに失敗しました。無効になっているアカウントを使用してログオンが試みられました。 |
| 532 | ログオンに失敗しました。有効期限が切れたアカウントを使用してログオンが試みられました。 |
| 533 | ログオンに失敗しました。このコンピューターでのログオンが許可されていないユーザーによりログオンが試みられました。 |
| 534 | ログオンに失敗しました。許可されていない種類を使用してユーザーがログオンを試みました。 |
| 535 | ログオンに失敗しました。指定されたアカウントのパスワードの有効期限が切れています。 |
| 536 | ログオンに失敗しました。Net Logon サービスがアクティブになっていません。 |
| 537 | ログオンに失敗しました。その他の理由でログオンの試みが失敗しました。 |
| 538 | ユーザーのログオフ プロセスが完了しました。 |
| 539 | ログオンに失敗しました。ログオンが試みられたときにアカウントがロックアウトされました。 |
| 540 | ユーザーがネットワークに正常にログオンしました。 |
| 541 | ローカル コンピューターとピア ID の一覧との間でメイン モード インターネット キー交換 (IKE) 認証が完了したか、クイック モードによりデータ チャネルが確立されました。 |
| 542 | データ チャネルが終了しました。 |
| 543 | メイン モードが終了しました。 |
| 544 | ピアによって有効な証明書が提供されていないか、署名が検証されていないため、メイン モード認証が失敗しました。 |
| 545 | Kerberos のエラーまたは無効なパスワードにより、メイン モード認証が失敗しました。 |
| 546 | ピアにより無効な提案が送信されたため、IKE セキュリティ アソシエーションの確立に失敗しました。無効なデータを含むパケットが受信されました。 |
| 547 | IKE ハンドシェイク中にエラーが発生しました。 |
| 548 | ログオンに失敗しました。信頼される側のドメインからのセキュリティ ID (SID) がクライアントのアカウント ドメイン SID と一致しません。 |
| 549 | ログオンに失敗しました。フォレストをまたがる認証時に、信頼されていない名前空間に対応するすべての SID がフィルター処理で除外されました。 |
| 550 | サービス拒否攻撃の可能性を示す通知メッセージです。 |
| 551 | ユーザーがログオフ プロセスを開始しました。 |
| 552 | ユーザーが既に別のユーザーとしてログオンしている状態で、明示的な資格情報を使用してコンピューターへのログオンに成功しました。 |
| 682 | ユーザーが、切断されたターミナル サーバー セッションに再接続しました。 |
| 683 | ユーザーが、ログオフせずにターミナル サーバー セッションを切断しました。 |
イベント 528 が記録された場合、ログオンの種類もイベント ログに記録されます。次の表で、ログオンの各種類について説明します。
| ログオンの種類 | ログオンのタイトル | 説明 |
|---|---|---|
| 2 | Interactive | ユーザーがこのコンピューターにログオンしました。 |
| 3 | Network | ユーザーまたはコンピューターがネットワークからこのコンピューターにログオンしました。 |
| 4 | Batch | バッチのログオンの種類は、バッチ サーバーによって使用されます。この種類の場合、ユーザーの直接的な操作なしにユーザーに代わってプロセスが実行されている可能性があります。 |
| 5 | Service | サービス コントロール マネージャーによりサービスが開始されました。 |
| 7 | Unlock | このワークステーションのロックが解除されました。 |
| 8 | NetworkCleartext | ユーザーがネットワークからこのコンピューターにログオンしました。ユーザーのパスワードはハッシュされていない形式で認証パッケージに渡されました。組み込み認証パッケージはすべて、ネットワーク経由で送信する前に資格情報をハッシュします。資格情報がプレーンテキスト (クリア テキストとも呼ばれます) の形式でネットワークを移動することはありません。 |
| 9 | NewCredentials | 呼び出し元が現在のトークンを複製し、発信接続のために新しい資格情報を指定しました。新しいログオン セッションは同じローカル ID を持ちますが、別のネットワーク接続のために異なる資格情報を使用します。 |
| 10 | RemoteInteractive | ユーザーがターミナル サービスまたはリモート デスクトップを使用してリモートでこのコンピューターにログオンしました。 |
| 11 | CachedInteractive | ユーザーがコンピューターにローカルで保存されているネットワーク資格情報を使用してこのコンピューターにログオンしました。資格情報を確認するためにドメイン コント ローラーにアクセスされませんでした。 |