イベントビューアーでは、アカウント名が正しいがパスワードが間違っているログイン失敗イベント（イベントID4625）がセキュリティログに記録されません

Question

Windows Server 2012 を使用している際に、ユーザー名が正しいがパスワードが間違っているログイン失敗イベントが記録されないことに気づきました。

いくつかのパターンでログイン失敗のテストを行いました。

テストパターンとセキュリティログの出力状況は以下の通りです

ユーザ：×　パスワード：〇　セキュリティログ（4625）への出力記録あり 、サブ ステータス: 0xC0000064

ユーザ：×　パスワード：×　セキュリティログ（4625）への出力記録あり 、サブ ステータス: 0xC0000064

ユーザ：〇　パスワード：×　セキュリティログ（4625）への出力記録なし

システム情報について：このサーバーはクラウド環境に構成された仮想マシンであり、ADドメインに属しています。通常のアクセス方法はVPN接続を通じて行われています

グループポリシーの設定や監査イベントを変更してみましたが、改善は見られませんでした。調査の過程で、Winodwsには特定の4625イベントが出力されないように細かく制御するためのネイティブな設定は存在しないことがわかりました。

そのため、Windowsのシステム設定には関係ないと考え、システムの故障が原因である可能性を考慮しています。調査方向や解決策について、何かアドバイスはありますか

Answer 1

チャブーンです。

この件ですが、対象マシンは「ドメインアカウントでアクセス」しているのですよね？であるなら、「資格情報のキャッシュ」で仮認証しただけなので、イベントに記録されていないのだと思います。

アカウントとパスワードの正当性は「セキュリティアカウントマネージャー(SAM)」だけが保証できます。ローカルコンピューターならローカルセキュリティ機関が、ドメインならばActive DIrectoryがその対象です。

各マシンのログオン時は、基本的に上記SAMに必ずアクセスして、その結果を確認します。イベント4625は、ここからの情報をもって、記録されている理解です。例外的に「資格情報のキャッシュ」という機能で、過去ログオン時のアカウント情報が、対象マシンにローカルで保存されています。便宜上ログオンはできるのですが、SAMに問い合わせていないため、セキュリティ監査という観点では、確認外になると思います。

ユーザ：×　パスワード：〇　セキュリティログ（4625）への出力記録あり 、サブ ステータス: 0xC0000064 ユーザ：×　パスワード：×　セキュリティログ（4625）への出力記録あり 、サブ ステータス: 0xC0000064 ユーザ：〇　パスワード：×　セキュリティログ（4625）への出力記録なし

上記の挙動ですが、誤ったユーザー名=過去ログオンの履歴がなく「資格情報のキャッシュがない」状態となるため、SAMに問い合わせを行いその結果が記録されます。ログオン履歴があるユーザー名については、「資格情報のキャッシュ」が存在するため、その情報で仮ログオンしているので、イベント記録がないのだと思います。

VPNで接続というなら、ドメインコントローラーと最初はつながっていないので、資格情報のキャッシュを使う以外のログオン方法はありません。あとづけでVPNログオンした場合、その時点で認証が確認されます。

この挙動自体は、Windowsの根幹機能のため、変更することはできません。どうしても何か対応したい場合、グループポリシー「対話型ログオン: キャッシュする過去のログオン数(ドメインコントローラーが使用できない場合)」を0にすると、視覚情報のキャッシュ機能を無効化できます。ただし、この場合、ドメインコントローラーとの通信ができない環境では、必ずログオンに失敗してしまうため、質問者さんの環境では、適切解とは言えないと思います。

Answer 2

こんにちは。

Windows Server 2012 において、ユーザー名が正しいがパスワードが間違っている場合にログイン失敗イベント（イベント ID 4625）が記録されない問題について、以下のような調査方向と解決策を提案します。

1. Windows のデフォルト動作

Windows は、ユーザー名が存在しない場合、セキュリティ上の理由からログイン失敗イベントを記録しないことがあります。これは、攻撃者にユーザー名の有無を推測されないようにするための設計上の動作です。したがって、ユーザー名が存在しない場合にイベントが記録されないのは、システムの故障ではなく、Windows のデフォルト動作である可能性があります。

2. グループポリシーの確認

以下のグループポリシー設定を確認し、適切に構成されているか確認してください。

監査ポリシーの設定

グループポリシー管理エディター（gpedit.msc）を開きます。

以下のパスに移動します：

コンピュータの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > 監査ポリシー

以下のポリシーが有効になっていることを確認します：

アカウント ログオン イベントの監査（Audit Account Logon Events）：失敗を有効にする。

  **ログオン イベントの監査**（Audit Logon Events）：**失敗**を有効にする。
セキュリティオプションの設定

**グループポリシー管理エディター**（`gpedit.msc`）を開きます。

以下のパスに移動します：

コンピュータの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプション

以下のポリシーを確認します：

監査: グローバル システム オブジェクトへのアクセスを監査する（Audit: Audit the access of global system objects）：有効にする。

  **監査: 匿名アカウントのアクセスを監査する**（Audit: Audit the access of anonymous accounts）：**有効**にする。

3. イベントログの設定確認

イベントログの設定が正しく構成されているか確認します。

イベントビューアー（eventvwr.msc）を開きます。

Windows ログ > セキュリティ を右クリックし、プロパティを選択します。

最大ログサイズが十分に大きいことを確認し、ログがいっぱいになったときの動作が「古いイベントを上書きする」に設定されていることを確認します。

4. ドメインコントローラーの確認

ADドメイン環境では、ログインイベントがドメインコントローラーに記録される場合があります。ドメインコントローラーのセキュリティログを確認し、イベント ID 4625 が記録されているか確認してください。Windows Server 2012 において、ユーザー名が正しいがパスワードが間違っている場合にログイン失敗イベント（イベント ID 4625）が記録されない問題について、以下のような調査方向と解決策を提案します。

---

回答がお役に立ちましたら、「回答を承認する」をクリックし、アップボートしてください。