ManageEngine x Forrester | Workforce Identity Platforms Landscape Report

Read now
Azure AD管理

アカウントロックアウトイベントID:アカウントロックアウトの検索方法

6月 30, 2023

現代のデジタル環境において、セキュリティは組織にとって最も重要な懸念事項です。システム管理者がよく直面する一般的なセキュリティ課題は、アカウントのロックアウトを処理することです。Active Directoryのユーザーアカウントがロックされた場合、アカウントロックアウトイベントIDが生成され、Windowsのイベントログに記録されます。これらのイベントIDには、アカウント名、イベントの時間、およびロックアウトの原因となったソースコンピュータなど、ロックアウトに関する重要な情報が含まれています。これらのイベントIDを識別して分析する方法を理解することは、アカウントロックアウト問題を効果的にトラブルシューティングし、解決する上で不可欠です。

導入

アカウントのロックアウトは、間違ったパスワード、ブルートフォース攻撃、または許可されていないアクセスを試みる誤設定されたアプリケーションなど、さまざまな理由によって発生することがあります。アカウントロックアウトイベントが発生すると、ドメインコントローラの4740やクライアントコンピュータの4625など、該当するイベントIDがWindowsのイベントログに記録されます。これらのイベントIDを調べることにより、管理者はロックアウトの原因を特定し、問題を解決するための適切な措置を講じることができます。

アカウントロックアウトイベントIDの理解

アカウントロックアウトの発見プロセスに入る前に、ロックアウトイベントに関連する2つの主要なイベントIDを理解することが重要です。イベントID 4740はActive Directoryアカウントがロックアウトされたときにドメインコントローラーにログされ、イベントID 4625はサーバーやワークステーションにおいて、ローカル及びドメインユーザーアカウントのロックアウトの両方でログされます。

アカウントロックアウトイベントの有効化

アカウントロックアウトイベントを追跡するためには、必要な監査ポリシーを設定し、適切な設定を有効にすることが大切です。いくつかの簡単な手順を踏むことで、管理者はアカウントロックアウトイベントがWindowsイベントログに記録されることを確実にできます。

  1. グループポリシーマネジメントコンソールを開きます。ドメインコントローラーまたはRemote Server Administration Tools(RSAT)がインストールされた任意のコンピューターで使用可能です。

  2. 「コンピューターの構成」->「ポリシー」->「Windowsの設定」->「セキュリティ設定」->「詳細監査ポリシーの構成」->「監査ポリシー」->「アカウント管理」にアクセスして、デフォルトのドメインコントローラーポリシーを変更します。「ユーザーアカウント管理の監査」ポリシーに成功と失敗の監査を有効にします。

  3. 次に、「コンピューターの構成」->「ポリシー」->「Windowsの設定」->「セキュリティ設定」->「詳細監査ポリシーの構成」->「ログオン/ログオフ」の下で以下の設定を有効にします:

  • アカウントロックアウトの監査 – 成功および失敗
  • ログオフの監査 – 成功および失敗
  • ログオンの監査 – 成功および失敗
  • その他のログオン/ログオフイベントの監査 – 成功および失敗

これらの監査ポリシーが構成されると、アカウントロックアウトイベントはセキュリティイベントログに記録され、トラブルシューティングに役立つ貴重な情報が提供されます。

ドメインコントローラー上のアカウントロックアウトイベントID 4740

イベントID 4740は、ユーザーアカウントのロックアウトが発生したときにドメインコントローラー上で特にログされます。これにより、ドメインコントローラー環境内でロックアウトの原因を特定するのに必要な情報が管理者に提供されます。

ドメインコントローラーでアカウントロックアウトのトラブルシューティングを行う際には、イベントID 4740のさまざまなコンポーネントとそれらが調査プロセスにどのように貢献するかを理解することが重要です。

イベントID 4740のコンポーネント理解

  1. アカウント名:このコンポーネントはロックアウトされたユーザーアカウントの名前を指定します。

  2. アカウントドメイン:ユーザーアカウントが存在するドメインを識別します。

  3. 発信コンピューター名:アカウントロックアウト要求が行われたコンピューターの名前を示します。

  4. 発信ログオンID:アカウントロックアウト要求を開始したログオンセッションの一意の識別子を提供します。

  5. 発信ユーザー名:アカウントロックアウト要求を開始したログオンセッションに関連するユーザーの名前を指定します。

  6. ロックアウトされたアカウント:ロックアウトされたユーザーアカウントの名前を指示します。

  7. ロックアウト時間:アカウントロックアウトが発生した日時を表示します。

イベントID 4740の各コンポーネントを分析することにより、管理者はロックアウトイベントの発生源と関連するユーザーやコンピュータについての洞察を得ることができます。

アカウントロックアウトイベントID 4740の分析手順

ドメインコントローラーでアカウントロックアウトイベントを効果的に分析するために、以下の手順に従ってください:

  1. イベントビューアを開く:Windowsキー + R を押し、「eventvwr.msc」と入力して実行ダイアログに表示し、Enterキーを押してドメインコントローラー上のイベントビューアを起動します。

  2. セキュリティログに移動:イベントビューアで「Windowsログ」->「セキュリティ」に移動し、セキュリティイベントログにアクセスします。

  3. イベントID 4740をフィルタリング:「セキュリティ」ログ上で右クリックし、「現在のログをフィルタする」を選択します。「現在のログをフィルタする」ダイアログで「ソース別」フィールドに「4740」と入力し、「OK」をクリックします。これにより、ログがフィルタリングされ、イベントID 4740のエントリのみが表示されます。

  4. イベントの詳細を分析:イベントID 4740の各エントリーをレビューし、ロックアウトされたユーザーアカウント、呼び出し元のコンピュータ名、ロックアウトの時間についての情報を収集します。呼び出し元のコンピュータ名に注意を払ってください。これはロックアウトの源を突き止める手がかりを提供します。

  5. 呼び出し元コンピュータの調査:呼び出し元コンピュータ名を特定したら、特定のコンピュータでのロックアウトの潜在的な原因を調査します。これには、古い資格情報を使用している可能性のある実行中のプロセスやサービスをチェックする、スケジュールされたタスクを確認する、そのコンピュータから発信されたネットワーク接続試みを調べるなどが含まれる場合があります。

これらのステップに従い、イベントID 4740のエントリーを分析することで、管理者はアカウントロックアウトの源を絞り込み、問題の解決に向けた適切な行動を取ることができます。

サーバーとワークステーションでのアカウントロックアウトイベントID 4625

イベントID 4625は、ローカルまたはドメインユーザーアカウントがロックアウトされたときに、サーバーやワークステーションでログされる主要なイベントIDです。このイベントは、ロックアウトの源とログオン試行に失敗した理由を特定するのに役立つ重要な情報を提供します。

サーバーやワークステーションでのアカウントロックアウトをトラブルシューティングする際は、イベントID 4625のコンポーネントとそれらの重要性を理解することが重要です。

イベントID 4625のコンポーネントの理解

  1. アカウント名:このコンポーネントはロックアウトされたユーザーアカウントの名前を指定します。

  2. アカウントドメイン:ユーザーアカウントが存在するドメインを識別します。

  3. ソースネットワークアドレス:このコンポーネントは、ロックアウト要求が行われたコンピュータのIPアドレスまたはホスト名を指し示します。

  4. ログオンタイプ:ログオンタイプは、対話式、ネットワーク、またはリモート対話式ログオンなどのログオン試行の種類を定義します。

  5. 失敗理由:ログオン試行が失敗した理由を提供し、ロックアウトの原因を特定するのに役立ちます。

イベントID 4625の各コンポーネントを分析することで、管理者はユーザーアカウント、ソースネットワークアドレス、ログオンタイプと失敗理由を含むロックアウトイベントについての洞察を得ることができます。

アカウントロックアウトイベントID 4625を分析するためのステップバイステップの指示

サーバーとワークステーションでアカウントロックアウトイベントを効果的に分析するには、以下のステップバイステップの指示に従います:

  1. イベントビューアを開く:アカウントロックアウトが発生しているサーバーやワークステーションでイベントビューアを起動するために、Windowsキー + Rを押し、「eventvwr.msc」と入力して実行ダイアログに入力し、Enterキーを押します。

  2. セキュリティログに移動:イベントビューアで「Windowsログ」->「セキュリティ」に移動し、セキュリティイベントログにアクセスします。

  3. イベントID 4625をフィルタリングする:「セキュリティ」ログを右クリックし、「現在のログをフィルタリング」を選択します。「現在のログをフィルタリング」ダイアログで、「ソース別」フィールドに「4625」と入力し、「OK」をクリックします。これにより、イベントID 4625のエントリーのみを表示するようにログがフィルタリングされます。

  4. イベントの詳細を分析する:各イベントID 4625のエントリーをレビューして、ロックアウトされたユーザーアカウント、ソースネットワークアドレス、ログオンタイプ、失敗理由についての情報を収集します。これらの詳細は、有効期限切れのパスワード、誤設定されたアプリケーション、または不正なアクセス試行など、ロックアウトの潜在的な原因を特定するのに役立ちます。

  5. ソースネットワークアドレスの調査:ソースネットワークアドレスを特定した後、該当するコンピュータやIPアドレスを調査し、アカウントロックアウトにつながる疑わしい活動や誤設定がないかを確認します。ロックアウトの原因となっている可能性のある任意のプロセス、サービス、またはスケジュールされたタスクをチェックします。

これらのステップに従い、イベントID 4625のエントリーを分析することで、管理者はサーバーとワークステーションでのアカウントロックアウトの源を特定し、問題の解決に向けた適切な行動を取ることができます。

イベントID 4625のログオンタイプ

イベントID 4625には、アカウントのロックアウトにつながったログオン試行の種類を洞察するための異なるログオンタイプが含まれています。これらのログオンタイプを理解することは、管理者がロックアウトの源泉とその潜在的な原因を特定するための調査プロセスに役立ちます。

ログオン種別

説明

詳細

2

インタラクティブログオン

ユーザがコンピュータにログオンする際に発生するログオンタイプです。

– コンソールログオン: ユーザが直接コンピュータのコンソールにログオンしたとき

– RUNASコマンド: ユーザが異なる資格情報でプログラムを実行するとき

– ネットワークKVMアクセス: ユーザがキーボード、ビデオ、マウス(KVM)スイッチを使用してコンピュータにリモートアクセスするとき

3

ネットワークログオン

ユーザがリモートリソースにアクセスする際に発生するログオンタイプです。

– NET USEコマンド: ユーザが共有リソースへのネットワーク接続を確立するとき

– リモートプロシージャコール(RPC): ユーザがリモートサーバーに対してRPC呼び出しを行うとき

– リモートレジストリアクセス: ユーザがリモートコンピュータのレジストリにアクセスするとき

4

バッチログオン スケジ

ュールされたタスクが実行される際に発生するログオンタイプです。

– スケジュールされたタスク: Windowsタスクスケジューラでスケジュールされたタスクが実行されるとき

– バッチスクリプト: バッチスクリプトが実行されるとき

 

5

サービスログオン サー

ビスが起動または実行される際に発生するログオンタイプです。

– Windowsサービス: 特定のアカウントの下でWindowsサービスが開始または実行されるとき

– バックグラウンドサービス: 認証が必要となるバックグラウンドサービスが初期化されるとき

7

ワークステーションのロック解

ユーザがロックされたワークステーションを解除する際に発生するログオンタイプです。

– ロックされたワークステーションを解除: ユーザが不活動や手動でロックされたコンピュータのロックを解除するとき

8

ネットワーククリアテキストログオン

このログオンタイプは、ユーザーがクリアテキストの資格情報を使用してログオンする場合に発生します。

– IISベーシック認証:ユーザーがIISウェブサーバーにベーシック認証を使用して認証する場合

– Windows PowerShell with CredSSP:ユーザーが認証のためにWindows PowerShellにCredSSP(Credential Security Support Provider)を使用する場合

9

新規資格ログオン

このログオンタイプは、既にログオンしているユーザーが新しい資格情報でログオンする場合に発生します。

– /NETWORKオプション付きのRUNASコマンド:ユーザーがプログラムを異なる資格情報で実行し、/NETWORKオプションを指定する場合

10

リモートインタラクティブログオン

このログオンタイプは、ユーザーがリモートでログオンする場合に発生します。

– リモートデスクトップ接続:ユーザーがコンピューターにリモートデスクトップセッションを確立する場合

– リモート管理:ユーザーがサーバーまたはワークステーションを遠隔で管理する場合

11

キャッシュ済みインタラクティブログオン

キャッシュ済みインタラクティブログオン

– ローカルキャッシュされた資格情報を使用してのユーザーログイン:ユーザーが以前ローカルにキャッシュされた資格情報を使用してコンピュータにログオンする場合

12

キャッシュ済みリモートインタラクティブログオン(ターミナルサービス)

このログオンタイプは、ユーザーがキャッシュ済みの資格情報を使用してリモートのターミナルサービスセッションにログオンする場合に発生します。

– キャッシュ済み資格情報を使用してターミナルサービスにアクセスするユーザー:ユーザーが以前ローカルにキャッシュされた資格情報を使用してリモートのターミナルサービスセッションにログオンする場合

13

キャッシュ済みアンロック(ターミナルサービス)

このログオンタイプは、ユーザーがキャッシュ済みの資格情報を使用してロックされたターミナルサービスセッションのロックを解除する場合に発生します。

– ターミナルサービスセッションのロック解除:ユーザーが以前ローカルにキャッシュされた資格情報を使用してロックされたターミナルサービスセッションのロックを解除する場合

14

クリアテキストパスワードログオン(クレデンシャルマネージャー)

このログオンタイプは、ユーザーがクレデンシャルマネージャーに保存された資格情報を使用してログオンする場合に発生します。

– クレデンシャルマネージャーに保存された資格情報を使用したログオン:ユーザーが以前クレデンシャルマネージャーに保存された資格情報を使用してコンピュータにログオンする場合

15

ネットワークログオン with クリアテキストパスワード(クレデンシャルマネージャー)

このログオンタイプは、ユーザーがクレデンシャルマネージャーに保存されたネットワーク資格情報を使用してログオンする場合に発生します。

– クレデンシャルマネージャーに保存されたネットワーク資格情報を使用したログオン:ユーザーが以前クレデンシャルマネージャーに保存された資格情報を使用してネットワークリソースにログオンする場合

イベントID 4625で一般的に見られるログオンの種類は以下の通りです:

  1. ログオンタイプ2:インタラクティブログオン – ユーザーが物理的コンソールまたはリモートデスクトップセッションを通じてローカルコンピュータにインタラクティブにログオンする際に発生するログオンタイプです。

  2. ログオンタイプ3:ネットワークログオン – ユーザーがネットワークを介してリモートコンピュータのリソースにアクセスするときに発生するログオンタイプで、共有フォルダーやプリンターへのアクセスなどが含まれます。

  3. ログオンタイプ10:リモートインタラクティブログオン – ユーザーがリモートデスクトップサービス(RDS)や類似のリモートアクセスプロトコルを使用してコンピュータにリモートで接続する際に発生するログオンタイプです。

イベントID 4625内でのログオンタイプの分析によって、管理者はログオン試行失敗の窓口を特定し、潜在的な原因を特定できるようになります。その原因には、ユーザーアカウントが乗っ取られている場合、不正アクセスの試行、またはアプリケーションサービスの設定ミスなどがあります。

ログオンタイプと他のイベントの詳細情報と相関させることで、管理者はアカウントのロックアウトイベントの詳細な理解を得ることができ、アカウントのロックアウトを解決するための適切な行動を取ることができます。

これらのトラブルシューティング手順やログオンタイプ分析を、アカウントロックアウトの予防および解決への包括的なアプローチを保証するために、他のセキュリティ対策やベストプラクティスと組み合わせて適用してください。

アカウントロックアウトの発生源を迅速に見つける方法

アカウントロックアウトの発生源を見つけるのは、大規模で複雑な環境では特に時間のかかるプロセスです。しかし、このタスクを効率化し、トラブルシューティングプロセスを迅速化するための複数の方法とツールが存在します。

イベントビューアを使用してアカウントロックアウトを見つける

イベントビューアは、管理者がイベントログを閲覧し分析することを可能にするWindowsの組み込みツールです。イベントビューアを使用してアカウントロックアウトを見つけるには、以下の手順に従ってください:

  1. Windowsキー + Rを押し、「eventvwr.msc」と入力して「実行」ダイアログボックスに表示し、Enterを押してイベントビューアを開きます。

  2. 「Windowsログ」->「セキュリティ」に移動し、イベントID 4740(ドメインコントローラー上)またはイベントID 4625(サーバーとワークステーション上)を探します。

  3. アカウント名、ソースIPアドレス、ログオンタイプなどの関連するパラメーターによってイベントをフィルタリングします。

  4. イベントの詳細を分析して、ロックアウトの原因となっているソースコンピュータを特定します。

イベントビューアを使用するという手動のアプローチは、複数のログエントリや広範なイベントログを扱う場合には特に時間がかかります。より効率的な方法を求めるならば、PowerShellコマンドや特殊なツールを利用することを検討してください。

アカウントロックアウトを見つけるためのPowerShellコマンド

PowerShellには、アカウントロックアウトを見つけるプロセスを自動化するための強力なコマンドレットが用意されています。以下のPowerShellコマンドを使用してアカウントロックアウトイベントを取得できます:

# ドメインコントローラーでのイベントID 4740によるアカウントロックアウトを見つける

Get-WinEvent -FilterHashtable @{LogName=’Security’; ID=4740} | Select-Object -Property TimeCreated, Message

# サーバーやワークステーションでのイベントID 4625によるアカウントロックアウトを見つける

Get-WinEvent -FilterHashtable @{LogName=’Security’; ID=4625} | Select-Object -Property TimeCreated, Message

これらのコマンドは関連するイベントを取得し、イベント発生時刻とロックアウトの詳細情報が含まれるイベントメッセージを表示します。

アカウントロックアウトのトラブルシューティングにおけるイベントID 4625

イベントID 4625はアカウントロックアウトのトラブルシューティングに役立つ重要な情報を含んでいます。これらのイベントを分析する際には、以下の詳細に注意してください:

  • アカウント名:ロックアウトを経験している特定のユーザーアカウントを特定します。

  • ソースIPアドレス:ログオンを試みているコンピュータのIPアドレスを決定します。

  • ログオンタイプ:対話型ログオン、ネットワークログオン、または遠隔対話型ログオンなど、ログオンのタイプを理解します。

  • 失敗理由:ロックアウトの原因を洞察するためのエラーコードや失敗理由を探します。

これらの情報を他のログやネットワーク監視ツールと組み合わせることで、管理者は誤設定されたアプリケーション、期限切れのパスワード、あるいは悪意のある活動などの潜在的な原因を特定することができます。

サマリー

アカウントのロックアウトは、ユーザーとシステム管理者の双方にとってイライラする問題です。しかし、アカウントロックアウトイベントIDを理解し、必要な監査ポリシーを有効にし、イベントビューア、PowerShellコマンド、AD Proツールキットのようなツールを利用することで、管理者はアカウントロックアウトの原因を効率的に見つけることができます。アカウントロックアウトの迅速な解決は、組織のデジタルインフラストラクチャの安全性とスムーズな運用を確保する上で重要です。

よくある質問

Q1: アカウントのロックアウトはパスワードの有効期限切れによって引き起こされることがありますか?

A1: はい、パスワードの有効期限切れはアカウントロックアウトの一般的な原因の一つです。ユーザーのパスワードが有効期限切れの場合、失敗したログオン試行がアカウントロックアウトイベントを引き起こす可能性があります。

Q2: マルウェアや不正アクセスの試みによってアカウントロックアウトが発生することはありますか?

A2: はい、マルウェアや不正アクセスの試みはアカウントロックアウトに繋がることがあります。複数のユーザー名やパスワードの組み合わせを自動的に試みるブルートフォース攻撃は、システムが複数回の失敗したログオン試行を検出するとアカウントロックアウトを引き起こす可能性があります。

Q3: 誤配置されたアプリケーションによって引き起こされるアカウントロックアウトを防ぐことは可能ですか?

A3: はい、アプリケーションやサービスが正しく設定されていることを確認することで、アカウントロックアウトを防ぐことができます。適切な権限を持つサービスアカウントの使用やパスワード設定の適切な設定などの設定は、ロックアウトの発生を減らすことに役立ちます。

Q4: ロックアウトの原因を特定しなくても、ロックアウトされたアカウントを解除することはできますか?

A4: はい、管理者として、ロックアウトの正確な原因を特定せずとも、ロックアウトされたアカウントを手動で解除することができます。しかし、将来のロックアウトを防ぐため、原因を調査して対処することが一般的に推奨されます。

Q5: アカウントロックアウトイベントをどのくらいの頻度で確認すべきですか?

A5: 特に組織が頻繁にロックアウト問題を経験する場合は、定期的にアカウントロックアウトイベントを監視することが望ましいです。自動化スクリプトの設定や専門のツールを使用することで、監視プロセスを効率化し、迅速にロックアウトイベントに対応することができます。

結論

アカウントのロックアウトは組織にとって厄介な問題ですが、適切な知識とツールさえあれば、管理者はそれらを効率良く特定して解決することができます。アカウントロックアウトイベントIDを理解し、必要な監査ポリシーを有効にし、イベントビューア、PowerShellコマンド、ADプロツールキットなどのツールを活用することで、アカウントロックアウトの原因を迅速に見つけ、ユーザーアクセスを回復し、デジタル環境のセキュリティを確保する適切な対策を講じることができます。定期的な監視と予防措置を講じることで、アカウントロックアウトの問題を軽減し、セキュアでスムーズなユーザー体験を促進することができます。

Related posts
Azure AD管理

リモートコンピュータのシャットダウンと再起動の方法

6月 30, 2023
×

There are over 8,500 people who are getting towards perfection in Active Directory, IT Management & Cyber security through our insights from Identitude.

Wanna be a part of our bimonthly curation of IAM knowledge?

  • -Select-
  • By clicking 'Become an insider', you agree to processing of personal data according to the Privacy Policy.