IPsec ドライバーの監査
IPsec ドライバーの監査
IPsec ドライバーの監査を使用すると、次のような IPsec ドライバーによって生成されたイベントを監査できます。
IPsec サービスの起動とシャットダウン。
整合性チェックの失敗によりドロップされたネットワークパケット。
リプレイチェックの失敗によりドロップされたネットワークパケット。
プレーンテキストであるためにドロップされたネットワークパケット。
不正なセキュリティパラメータインデックス (SPI) で受信されたネットワークパケット。これは、ネットワークカードが正しく動作していないか、ドライバーの更新が必要であることを示している可能性があります。
IPsec フィルターを処理できない。
IPsec フィルタードライバーによるパケットドロップの高い率は、許可されていないシステムによるネットワークへのアクセス試行を示している可能性があります。
IPsec フィルターを処理できないことは、IPsec フィルターによって提供される保護を受けられないネットワークインターフェイスが存在する可能性があるため、潜在的なセキュリティリスクを引き起こします。このサブカテゴリはこのドキュメントの範囲外です。
イベントボリューム: 中
デフォルト: 未構成
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | - | - | - | - | このドキュメントでは、IPsec ドライバーレベルで監視する必要があるものが明確でない限り、このサブカテゴリに対する推奨事項はありません。 |
| メンバーサーバー | - | - | - | - | このドキュメントでは、IPsec ドライバーレベルで監視する必要があるものが明確でない限り、このサブカテゴリに対する推奨事項はありません。 |
| ワークステーション | - | - | - | - | このドキュメントでは、IPsec ドライバーレベルで監視する必要があるものが明確でない限り、このサブカテゴリに対する推奨事項はありません。 |
イベントリスト:
4960(S): IPsecは整合性チェックに失敗した受信パケットをドロップしました。この問題が続く場合、ネットワークの問題やパケットがこのコンピュータに到達する途中で変更されている可能性があります。リモートコンピュータから送信されたパケットがこのコンピュータで受信されたものと同じであることを確認してください。このエラーは、他のIPsec実装との相互運用性の問題を示している可能性もあります。
4961(S): IPsecはリプレイチェックに失敗した受信パケットをドロップしました。この問題が続く場合、このコンピュータに対するリプレイ攻撃を示している可能性があります。
4962(S): IPsecはリプレイチェックに失敗した受信パケットをドロップしました。受信パケットのシーケンス番号が低すぎて、リプレイではないことを保証できませんでした。
4963(S): IPsecはセキュリティが確保されるべきクリアテキストの受信パケットをドロップしました。これは通常、リモートコンピュータがIPsecポリシーを通知せずに変更したためです。これはスプーフィング攻撃の試みである可能性もあります。
4965(S): IPsecは不正なセキュリティパラメータインデックス (SPI) を持つリモートコンピュータからのパケットを受信しました。これは通常、パケットを破損させるハードウェアの不具合によって引き起こされます。これらのエラーが続く場合、リモートコンピュータから送信されたパケットがこのコンピュータで受信されたものと同じであることを確認してください。このエラーは、他のIPsec実装との相互運用性の問題を示している可能性もあります。その場合、接続性が妨げられない限り、これらのイベントは無視しても構いません。
5478(S): IPsecサービスが正常に開始されました。
5479(S): IPsecサービスが正常にシャットダウンされました。IPsecサービスのシャットダウンは、ネットワーク攻撃のリスクを高めたり、潜在的なセキュリティリスクにさらしたりする可能性があります。
5480(F): IPsecサービスはコンピュータ上のネットワークインターフェイスの完全なリストを取得できませんでした。これにより、一部のネットワークインターフェイスが適用されたIPsecフィルタによって提供される保護を受けられない可能性があるため、潜在的なセキュリティリスクが生じます。問題を診断するためにIPセキュリティモニタースナップインを使用してください。
5483(F): IPsecサービスはRPCサーバーの初期化に失敗しました。IPsecサービスを開始できませんでした。
5484(F): IPsecサービスが重大な障害を経験し、シャットダウンされました。IPsecサービスのシャットダウンは、コンピュータをネットワーク攻撃のリスクにさらしたり、潜在的なセキュリティリスクにさらしたりする可能性があります。
5485(F): IPsecサービスがネットワークインターフェイスのプラグアンドプレイイベントでいくつかのIPsecフィルタを処理できませんでした。これは、適用されたIPsecフィルタによって提供される保護を一部のネットワークインターフェイスが受けられない可能性があるため、潜在的なセキュリティリスクを引き起こします。問題を診断するには、IPセキュリティモニタースナップインを使用してください。