このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(259.20000000000005, 26%, 35%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
最近、想定していない失敗の監査が記録されるようになりました。
※**** 以下の内容です。
1.Windowsは、権限のないゲストユーザがサーバに接続できないことを確認するため、
実際にサーバに接続しようとして失敗する動き(=イベントに出る)をさせている
と読んだ記憶があるのですが、認識あっていますでしょうか。
2.またその際、セキュリティ ID:NULL SID を使用していると認識しています。
アカウント名:(他の処理で使用しているユーザ名)となるのですが
以前の処理のユーザ名が消されずに出ている認識であっていますか。
3.この失敗の監査を出さないようにする設定はないでしょうか。
**************************
ログの名前: Security
ソース: Microsoft-Windows-Security-Auditing
日付: 2025/03/03 17:18:02
イベント ID: 4625
タスクのカテゴリ: Logon
レベル: 情報
キーワード: 失敗の監査
ユーザー: N/A
コンピューター: (該当サーバ名)
説明:
アカウントがログオンに失敗しました。
サブジェクト:
セキュリティ ID: SYSTEM
アカウント名: (該当サーバ名)$
アカウント ドメイン: WORKGROUP
ログオン ID: 0x3E7
ログオン タイプ: 8
ログオンを失敗したアカウント:
セキュリティ ID: NULL SID
アカウント名: (他の処理で使用しているユーザ名)
アカウント ドメイン:
エラー情報:
失敗の原因: ユーザー名を認識できないか、またはパスワードが間違っています。
状態: 0xC000006D
サブ ステータス: 0xC000006A
プロセス情報:
呼び出し側プロセス ID: 0x958
呼び出し側プロセス名: C:\Windows\System32\svchost.exe
ネットワーク情報:
ワークステーション名: (該当のサーバ名)
ソース ネットワーク アドレス: -
ソース ポート: -
詳細な認証情報:
ログオン プロセス: Advapi
認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
移行されたサービス: -
パッケージ名 (NTLM のみ): -
キーの長さ: 0
イベント 4625 の詳細については以下の記事を参照してください。
4625(F): An account failed to log on.
このイベントは実際にログオンの試行が行われて、それが失敗した場合にトリガーされます。
「ログオンを失敗したアカウント:」の「アカウント名:」は
と書かれていますので、実際にログオンを試行したアカウント名です。
イベント 4625 はセキュリティ上重要なイベントで無効にすることはサポートされていないしするべきでもないと思いますが、なぜ無効にされたいのでしょう。
ご回答ありがとうございました。
本件、Windowsの内部処理が発生させた「失敗の監査」なので、動作から考えると「然るべきもの」であると考えますが、本イベントを抑止したかったのは、
ユーザ操作でのログイン失敗を「失敗の監査」で検知したいと考えたためです。
ユーザ操作でのログイン失敗だけを検出するには、どのような条件を入れるとよいでしょうか。
「ユーザー操作でのログオン」とは具体的にどのような操作を想定されているのでしょう。ユーザーが明示的に資格情報を提示しなくても、キャッシュされた資格情報や資格情報マネージャーに登録された資格情報が利用されてユーザーの権限でネットワーク アクセスが行われることは普通にありますが、どこで線を引かれたいのでしょう?
「ユーザー操作でのログオン」とは具体的にどのような操作を想定されているのでしょう。
コンソールから、および、ネットワーク(リモートデスクトップ)でサーバにログオンしようとする操作を想定しています。
目的は不正ログインの検出で、ユーザIDやパスワードがわからない状態で、ログオンを試行したことを検出したいと考えています。
ActiveDirectoryを構成すれば、そちらで可能だと思うのですがADには入れていないので、個別にイベントログを監視しようと考えました。
ユーザIDやパスワードがわからない状態で、ログオンを試行したこと
と、ユーザーがたまたま資格情報を間違えた場合の識別は困難ですね。基本的にはログオン失敗をすべて記録した上で、ユーザーの正当な操作では無い物をチェックすることになるでしょう。
コメント、ありがとうございます。
ユーザーがたまたま資格情報を間違えた場合
これは、リモートデスクトップで繋ごうとした際に、接続先のサーバにないユーザIDを指定した場合ですよね。
コメント、ありがとうございます。
今回の「失敗の監査」が記録された事象で、理解できていないのは、
①ログオン タイプ: 8(ネットワーク)なのに、失敗の監査を記録したサーバと
ログオンを試行したコンピュータ (ワークステーション名:)が同じであること。
②サブジェクト: のアカウント名: に、"$"が追加されていること。
③ログオンを失敗したアカウント:が、他の処理で使用しているユーザ名になっていること。
④今回の事象が発生した切掛けが何かわからないこと。
※ユーザ操作や業務アプリからもログオンとは考えにく
⑤OSの仕様で発生するのであれば、どのようなタイミングで発生するのか。
です。何か情報がありましたら、お願いします。
① 自分自身にネットワーク経由で(ループバックアドレスであれ、実アドレスであれ)アクセスすることは可能なので、何かしらそういう動作があったのかもしれません。
② 4625(F): An account failed to log on. の例でもそうなっているので、そういうものなのでしょう(誰か詳しい人、見ていたら解説してください)。
③・④ これはそのタイミングでそのコンピューターの動作ログなどを採取して調査しないとわからないかもしれません。なので ⑤ も分からないですね。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 94%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EIX%3C/text%3E%3C/svg%3E)
こんにちは、
ログオンタイプ8は、ネットワークからこのコンピュータにログオンしたユーザーを示しています。ユーザーのパスワードは、ハッシュ化されていない状態で認証パッケージに渡されました。組み込みの認証パッケージは、ネットワークを介して送信する前に、すべての認証情報をハッシュ化します。認証情報は、平文(クリアテキストとも呼ばれる)のままネットワークを通過することはない。
イベント 4625 の Null SID は、ログオン要求が失敗し、ログオンを試みたアカウントのセキュリティ識別子 (SID) をシステムが識別できなかったことを示します。このイベントは、アクセスが試行されたコンピュータ上で生成され、一般的に、不明なユーザー名、不正なパスワード、またはアカウントが無効になっているなどの理由によるログオンの失敗と関連付けられます。
Ian Xue
回答が参考になった場合は、「回答を承認する」をクリックし、アップボートしてください。
コメントありがとうございます。
>ログオンタイプ8は、ネットワークからこのコンピュータにログオンしたユーザーを示しています。
についてですが、イベントを記録したサーバと、ログインしたサーバが同じなので、実際にはネットワーク越しではなくて、サーバ内部でのログインと認識していますが、間違っておりますでしょうか?