Active Directoryのログオン認証を監査するには(前編)

目次

• イベントビューアーを使用したログオン認証イベントの確認方法
  • イベントログ出力のために必要な監査ポリシーの設定
• もっと簡単に確認できるツール

Windows 9x系のOSでは、ユーザー名とパスワードの入力が必須ではなく、Escキーを押すことで、省略してログオンすることができました。それは、Windows 9x系のOSが個人での利用を前提につくられており、本人以外が使用する可能性、およびそこへの配慮が重要視されていなかったためです。しかし、企業でのコンピューターの使用が一般的となっている現代では、複数の人が同じコンピューターを使用する場合もあれば、ネットワーク越しに不正にコンピューターへアクセスされ、社内の情報が奪取されるという場合もあります。このような状況において、誰もがコンピューターにログオンできるという状態はまず避けなければいけないことであり、安全な使用のためには、コンピューターへログオンするアカウントの管理、および不審なログオン認証が行われていないかの監査が必要とされています。

ワークグループ環境の場合、各コンピューターが独立して存在しているため、管理や監査が困難となります。例えば、運用ポリシーに則った適切なパスワードが設定されているか、パスワードが定期的に変更されているか、といったことを把握しようとした場合、システム管理者は一台一台の設定状況を確認する必要があります。そこで、ある程度のネットワークの規模が大きくなる場合は、Active Directory環境で管理することにより、効率的にユーザーの認証・管理を行うことができます。なお、Active Directoryの概要や必要性については、以下のブログ記事にてご案内しておりますので、興味のある方は、ご一読いただければと思います。

【 連載：ADについて学ぼう 】

では、Active Directory環境において、意図したアカウントによるログオンが行われているか、不審なログオン失敗の履歴が存在していないかということを確認するためには、どうすればよいでしょうか。本投稿の前編では、イベントビューアーを使用した確認方法について、ご案内していきたいと思います。

イベントビューアーを使用したログオン認証イベントの確認方法

Active Directory環境において、ユーザーがログオンすると、認証情報がドメインコントローラーに送られ、認証情報の検証を行います。そして、ドメインコントローラー側で認証データが正しいことが確認できた場合はチケットが発行され、今後クライアントは、このチケットを使用してリソースにアクセスすることができるようになります。ログオンの成功・失敗を決定する、この「事前認証」の結果は、以下のイベントIDにて、イベントビューアー上に出力されます。

イベントログ出力のために必要な監査ポリシーの設定

[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > [監査ポリシーの詳細な構成] > 
[監査ポリシー] > [アカウント ログオン] > [Kerberos 認証サービスの監査] > [成功および失敗] にチェック

事前認証が成功し、ドメインコントローラーより認証チケットが発行された際には、以下のログが出力されます。

・ イベントID：4768
・ イベントタイプ：セキュリティの成功の監査

そこで、ログオン認証の成功イベントをイベントビューアーで確認する場合、以下のようにフィルターをかけます。

1.  [ Windowsログ ] > [ セキュリティ ] を右クリック
2.  [ 現在のログをフィルター ] を選択
3.  [ イベントID を含める/除外する ] に「4768」と入力
4.  [ キーワード ] にて「成功の監査」を選択

出力されるイベントログからは、「誰が」「どこから」「いつ」ログオンしたのかということを確認することが可能です。

続いて、ログオン失敗の際に出力されるイベントログですが、ログオン成功時と比べると、出力される種類が大きく増加します。なぜなら、失敗理由ごとに出力されるイベントIDや、失敗コードと呼ばれる項目が異なっており、その組み合わせによってどのような理由で認証に失敗したのかということが判断できるようになっているからです。なお、失敗理由については一旦おいておく場合、認証の失敗の際には以下のイベントログが出力されます。

・ イベントID：4768,4771,4772
・ イベントタイプ：セキュリティの失敗の監査

上記の条件で、先ほどと同様、イベントビューアーにてフィルターをかけることにより、ログオン失敗イベントを確認することが可能です。

Active Directoryのログオン認証をイベントビューアーから監査する場合、このようにフィルターをかけたうえで、集計を行ったり、心当たりのないIPアドレスからログオンが試行された形跡がないかを確認する、といった方法が一般的かと思います。しかし、ユーザーによるログオン認証を集計する場合は、単純にログの生成数を数えるのではなく、コンピューターアカウントによるログオン(アカウント名の最後に$マークがついているもの)は除外する必要があったり、ログオン失敗の原因調査まで行う場合は、複数の項目から失敗理由を特定する必要があったりなど、監査には一定以上の工数と知識量を必要とします。

もっと簡単に確認できるツール

そこで、監査は行いたいが、それに対して多くの工数と、知識のある人員を割くことが難しいという方におすすめしたいのが、ManageEngineが提供するActive Directory監査ログ分析ツール「ADAudit Plus」です。

無料で使えます［機能制限なし］

ダウンロードはこちら　｜　概要資料はこちら

ADAudit Plusは、リアルタイムにActive Directoryのイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。後編では、このADAudit Plusを使用した場合に、ログオン認証イベントをどのように監査することができるのかをご紹介していきたいと思います。

後編へ移動 >> 楽々！わかりやすい！ADAudit Plusを使用したログオン認証イベントの確認方法

関連ホワイトペーパーのご紹介

Active Directory 特権アクセスに対するセキュリティ対策ソリューション

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション

【他シリーズのActive Directory連載記事はこちら】
MicrosoftのMVP解説！Active Directoryのハウツー読本＞第1回 Active Directoryの必要性
MicrosoftのMVP解説！AzureADの虎の巻＞第1回 AzureADを利用する意味