4964(S) 特別なグループが新しいログオンに割り当てられました。

4964(S): 特別なグループが新しいログオンに割り当てられました。

イベントの説明:

このイベントは、定義された特別なグループのメンバーであるアカウントがログオンしたときに発生します。

注推奨事項については、このイベントのセキュリティ監視の推奨事項を参照してください。

イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4964</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12548</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-11T02:25:16.236443300Z" /> 
 <EventRecordID>238923</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="504" ThreadID="5008" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0xd972e</Data> 
 <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data> 
 <Data Name="TargetUserSid">S-1-5-21-3457937927-2839227994-823803824-500</Data> 
 <Data Name="TargetUserName">ladmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x139faf</Data> 
 <Data Name="TargetLogonGuid">{B03B6192-09AE-E77F-DD10-2DC430766040}</Data> 
 <Data Name="SidList">%{S-1-5-21-3457937927-2839227994-823803824-512}</Data> 
 </EventData>
 </Event>

必要なサーバーの役割: なし。

最小 OS バージョン: Windows Server 2008, Windows Vista。

イベントバージョン: 0。

注特別なグループは、Windows Vista および Windows Server 2008 の新機能です。特別なグループ機能を使用すると、管理者は特定のグループのメンバーがコンピューターにログオンしたときにそれを確認できます。特別なグループ機能を使用すると、管理者はレジストリにグループのセキュリティ識別子 (SID) のリストを設定できます。

> 特別なグループを追加するには、次の操作を行います:

> 1. レジストリエディタを開きます。

> 2. 次のレジストリサブキーを見つけてクリックします: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit

> 3. 編集メニューで、新規作成をポイントし、文字列値をクリックします。

> 4. SpecialGroups と入力し、ENTER キーを押します。

> 5. SpecialGroups を右クリックし、修正をクリックします。

> 6. 値のデータボックスにグループ SID を入力し、OK をクリックします。

> セミコロン文字 (;) を使用して SID リストを区切ることができます。たとえば、次のような文字列を使用して、セミコロンで 2 つの SID を区切ることができます:

> S-1-5-32-544;S-1-5-32-123-54-65

> 詳細については、https://blogs.technet.com/b/askds/archive/2008/03/11/special-groups-auditing-via-group-policy-preferences.aspx を参照してください。

フィールドの説明:

サブジェクト:

セキュリティID [タイプ = SID]: 新しいログオンアカウントのログオンを要求したアカウントのSID。イベントビューアーは自動的にSIDを解決し、アカウント名を表示しようとします。SIDが解決できない場合、イベントにはソースデータが表示されます。

注 セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。各アカウントには、Active Directoryドメインコントローラーなどの権限によって発行され、セキュリティデータベースに保存される一意のSIDがあります。ユーザーがログオンするたびに、システムはデータベースからそのユーザーのSIDを取得し、そのユーザーのアクセストークンに配置します。システムは、アクセストークン内のSIDを使用して、以降のすべてのWindowsセキュリティとのやり取りでユーザーを識別します。ユーザーまたはグループの一意の識別子としてSIDが使用された場合、それは他のユーザーまたはグループを識別するために再利用されることはありません。SIDの詳細については、セキュリティ識別子を参照してください。

アカウント名 [タイプ = UnicodeString]: 新しいログオンアカウントのログオンを要求したアカウントの名前。
アカウントドメイン [タイプ = UnicodeString]: サブジェクトのドメインまたはコンピュータ名。形式はさまざまで、以下を含みます:
- ドメイン NETBIOS 名の例: CONTOSO
- 小文字の完全なドメイン名: contoso.local
- 大文字の完全なドメイン名: CONTOSO.LOCAL
- LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は「NT AUTHORITY」となります。
- ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピュータまたはデバイスの名前が含まれます。例: 「Win81」。
ログオンID [タイプ = HexInt64]: このイベントを、同じログオンIDを含む最近のイベントと関連付けるのに役立つ16進数の値。例: 「4624: アカウントが正常にログオンされました。」
ログオン GUID [タイプ = GUID]: この GUID は、このイベントを他の同じ ログオン GUID を含む可能性のあるイベントと関連付けるのに役立ちます。例えば、ドメインコントローラーでの「4769(S, F): Kerberos サービスチケットが要求されました」イベント。
また、4964 イベントと、同じコンピューター上で同じ ログオン GUID を含む可能性のある他のいくつかのイベント（例えば、「4648(S): 明示的な資格情報を使用してログオンが試行されました」および「4624(S): アカウントが正常にログオンされました」）との関連付けにも使用できます。
このパラメーターはイベントでキャプチャされない場合があり、その場合は「{00000000-0000-0000-0000-000000000000}」として表示されます。

注 GUID は「Globally Unique Identifier（グローバル一意識別子）」の略です。リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数です。

新しいログオン:

セキュリティ ID [タイプ = SID]: ログオンを実行したアカウントの SID。イベントビューアーは自動的に SID を解決してアカウント名を表示しようとします。SID を解決できない場合、イベントにはソースデータが表示されます。
アカウント名 [タイプ = UnicodeString]: ログオンを実行したアカウントの名前。
アカウントドメイン [タイプ = UnicodeString]: サブジェクトのドメインまたはコンピューター名。形式はさまざまで、以下のようなものがあります:
- ドメイン NETBIOS 名の例: CONTOSO
- 小文字の完全ドメイン名: contoso.local
- 大文字の完全ドメイン名: CONTOSO.LOCAL
- LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は「NT AUTHORITY」となります。
- ローカルユーザーアカウントの場合、このフィールドにはこのアカウントが属するコンピューターまたはデバイスの名前が含まれます。例えば、「Win81」。
ログオン ID [タイプ = HexInt64]: このイベントを最近のイベントと関連付けるのに役立つ 16 進数値。例えば、「4624: アカウントが正常にログオンされました」など。
ログオン GUID [タイプ = GUID]: この GUID は、このイベントを他のイベントと関連付けるのに役立ちます。同じ ログオン GUID を含む可能性のある別のイベントと関連付けることができます。例えば、ドメインコントローラー上の “4769(S, F): Kerberos サービスチケットが要求されました” イベントです。
また、4964 イベントと同じコンピューター上の他のいくつかのイベント（同じ ログオン GUID を含む可能性のあるイベント）との相関にも使用できます。例えば、“4648(S): 明示的な資格情報を使用してログオンが試行されました” や “4624(S): アカウントが正常にログオンされました” です。
このパラメーターはイベントでキャプチャされない場合があり、その場合は “{00000000-0000-0000-0000-000000000000}” と表示されます。
割り当てられた特別なグループ [タイプ = UnicodeString]: 新しいログオン\セキュリティ ID がメンバーである特別なグループ SID のリストです。

セキュリティ監視の推奨事項

4964(S): 新しいログオンに特別なグループが割り当てられました。

一般的に言えば、すべての 4964 イベントを監視する必要があります。特別なグループの目的は、重要または重要なグループ（ドメイン管理者、エンタープライズ管理者、サービスアカウントグループなど）のリストを定義し、これらのグループのメンバーがコンピューターにログオンするたびにイベントをトリガーすることです。例えば、非管理者ワークステーションへのドメイン管理者のログオンを監視することができます。