その他のログオン/ログオフイベントの監査
その他のログオン/ログオフイベントの監査
その他のログオン/ログオフイベントの監査は、Windowsがその他のログオンまたはログオフイベントの監査イベントを生成するかどうかを決定します。
これらのその他のログオンまたはログオフイベントには以下が含まれます:
リモートデスクトップセッションが接続または切断される。
ワークステーションがロックまたはアンロックされる。
スクリーンセーバーが起動または解除される。
リプレイ攻撃が検出される。このイベントは、同一の情報を持つKerberosリクエストが2回受信されたことを示します。この状態はネットワークの誤設定によっても引き起こされる可能性があります。
ユーザーがワイヤレスネットワークへのアクセスを許可される。これはユーザーアカウントまたはコンピューターアカウントのいずれかです。
ユーザーが有線802.1xネットワークへのアクセスを許可される。これはユーザーアカウントまたはコンピューターアカウントのいずれかです。
ログオンイベントは、ユーザーの活動を理解し、潜在的な攻撃を検出するために不可欠です。
イベントボリューム: 低。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | はい | はい | はい | はい | Kerberosリプレイ攻撃、ターミナルセッションの接続および切断アクション、ネットワーク認証イベント、およびその他のいくつかのイベントを追跡するために、成功監査を推奨します。これらのイベントのボリュームは通常非常に低いです。失敗イベントは、要求された資格情報のCredSSP委任がポリシーによって許可されなかった場合に表示されます。これらのイベントのボリュームは非常に低く、通常はこれらのイベントを取得することはありません。 |
| メンバーサーバー | はい | はい | はい | はい | ターミナルセッションの接続および切断アクション、ネットワーク認証イベント、およびその他のいくつかのイベントを追跡するために、成功監査を推奨します。これらのイベントのボリュームは通常非常に低いです。失敗イベントは、要求された資格情報のCredSSP委任がポリシーによって許可されなかった場合に表示されます。これらのイベントのボリュームは非常に低く、通常はこれらのイベントを取得することはありません。 |
| ワークステーション | はい | はい | はい | はい | ターミナルセッションの接続および切断アクション、ネットワーク認証イベント、およびその他のいくつかのイベントを追跡するために、成功監査を推奨します。これらのイベントのボリュームは通常非常に低いです。失敗イベントは、要求された資格情報のCredSSP委任がポリシーによって許可されなかった場合に表示されます。これらのイベントのボリュームは非常に低く、通常はこれらのイベントを取得することはありません。 |
イベントリスト:
4649(S): リプレイ攻撃が検出されました。
4778(S): セッションがウィンドウステーションに再接続されました。
4779(S): セッションがウィンドウステーションから切断されました。
4800(S): ワークステーションがロックされました。
4801(S): ワークステーションのロックが解除されました。
4802(S): スクリーンセーバーが起動されました。
4803(S): スクリーンセーバーが解除されました。
5378(F): 要求された資格情報の委任がポリシーによって拒否されました。
5632(S): ワイヤレスネットワークへの認証要求が行われました。
5633(S): 有線ネットワークへの認証要求が行われました。