Windows 2000のActive Directoryドメインで,ドメインへのユーザーのログオンやログオフを監査し不正アクセスを検出しようと考えています。そこで,ドメイン・コントローラのセキュリティ・ポリシーで,[アカウントログオンイベントの監査]について成功と失敗の両方をチェックしました(図1)。 すると,セキュリティ・ログにID:672とID:673というイベントが記録されるようになり,このうちID:672のイベントがログオンの成功を表しているようです。しかし,ログオフに関しては,関連する情報が記録されないようです。 さらにその対策として,[ログオンイベントの監査]も有効にするとID:540の「ユーザーのログオン」や,ID:538の「ユーザーのログオフ」というイベントが記録されるようになりました。しかし,これらは実際のユーザーのログオン/ログオフと関係なく記録されてしまうようです。なぜ,こうした事象が発生するのでしょうか?また対策はないのでしょうか?
これは,Windowsの認証機構やActive Directoryにおける仕様となります。 まず,[アカウントログオンイベントの監査]は,厳密にはActive DirectoryのKerberos認証においてTGT(Ticket Granting Ticket)などのチケット発行を監査する機構です。TGTは通常,対話ログオン時にKerberosのKDC(Key Distribution Center)となるドメイン・コントローラからクライアントへ発行されます(図2)。このTGT発行時に「認証チケットの許可」を表すID:672のイベントがログに記録されます。しかし,ログオフ時にはサーバーと通信することなくチケットが破棄されるため,特にサーバー側のイベントは発生しません。
一方,[ログオンイベントの監査]は,サーバーに対するセッションの確立や切断を監査するための機構になります。例えば,サーバー上の共有ディレクトリに接続するとセッションが確立され,イベント・ログに「ユーザーのログオン」(ID:540)が記録されます。その後,明示的に切断処理をしたり,ある程度無通信状態が続いた場合にセッションは切断され,イベント・ログに「ユーザーのログオフ」(ID:538)が記録されます。つまり,[ログオンイベントの監査]は通常のユーザーのログオン/ログオフとは基本的に関係しないということになります。
正確に記録したい場合はスクリプトで 対話的なログオン/ログオフ情報を確実に記録したい場合は,ログオン・スクリプトやログオフ・スクリプトを活用するとよいでしょう。図3に示したような簡単なログオン・スクリプトや,ログオフ・スクリプトを適切なグループ・ポリシーの[ユーザーの構成]中にあるログオン・スクリプトやログオフ・スクリプトとして構成することで,ログオンやログオフの情報をイベント・ログに出力することが可能となります。 (高橋基信)
|
Active Directoryドメインでユーザーのログオン/ログオフの状況を監査したい
あなたにお薦め
今日のピックアップ
-
ずさんな安全管理が露呈したLINEヤフー、総務省が注視するNAVERとの「支配関係」
-
AIが社長に? 分身が欲しい中小企業社長の切実な願いを実現するサービス
-
フェイク排除にプラットフォームの対策が必要、リテラシーだけでは防ぎきれない
-
GUIプログラミングやバイトコード、一歩進んだPythonの使い方を知ろう
-
好きなジャンルの曲をボーカル入りで作成、話題の作曲生成AI「Suno」がすごかった
-
6万円台で勝負に出るZTE、安価な「折り畳みスマホ」は日本で普及するか
-
PCやスマホが激遅なのには理由がある、余計な処理を止める方法
-
個人情報保護委員会がLINEヤフーに行政指導、個人データ52万件流出受け
-
日本IBMが金融向けに生成AIを「拡張」、MicrosoftやAWSのサービスも選択可能
-
医療機関に4つの生成AI、業務負荷を軽減し研究用データベースの充実へ
-
関係者多数の改革プロジェクトでもめる、食い違う意見を擦り合わせる対処法は
-
SNSなど多様な公開情報を解析、セキュリティー対策に生かす「OSINT」とは
注目記事
おすすめのセミナー
-
「仮説立案」実践講座
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
-
CIO養成講座 【第35期】
業種を問わず活用できる内容、また、幅広い年代・様々なキャリアを持つ男女ビジネスパーソンが参加し、...
-
改革リーダーのコミュニケーション術
プロジェクトを成功に導くために改革リーダーが持つべき3つのコミュニケーションスキル—「伝える」「...
-
パワポ資料が見違える「ビジネス図解」4つのセオリー
インフォグラフィックスとは、形のない情報やデータなど伝えたいことを分かりやすい形で表現する技法で...
-
オンライン版「なぜなぜ分析」演習付きセミナー実践編
このセミナーでは「抜け・漏れ」と「論理的飛躍」の無い再発防止策を推進できる現場に必須の人材を育成...
-
問題解決のためのデータ分析活用入門
例えば「必要な人材育成ができていない」といった課題に、あなたならどう取り組みますか? このセミナ...
-
業務改革プロジェクトリーダー養成講座【第16期】
3日間の集中講義とワークショップで、事務改善と業務改革に必要な知識と手法が実践で即使えるノウハウ...
-
ITリーダー養成180日実践塾 【第14期】
8回のセミナーでリーダーに求められる“コアスキル”を身につけ、180日間に渡り、講師のサポートの...
注目のイベント
-
若手の離職防止につながる、マネジメント・チームづくりのポイント
2024 年 4 月 10 日(水) 10:00~12:30
-
ITモダナイゼーションSummit2024
2024年4月10日(水)、11日(木)12:45~17:50
-
【4月11日】最新HCIの特徴やメリットを学ぶ、参加者にはもれなくプレゼント進呈
2024年4月11日(木)
-
「ニッポンの未来図」――テクノロジーアップデート2024
2024年4月16日(火)14:00~15:00
-
【4月17日】AI活用につなげるIT基盤・組織・運用とは? 鍵は「Edge to Cloud」
2024年4月17日 (水)
-
【4月19日】データの活用と保護を両立、「段階的なDX」を実現するIT基盤とは?
2024年 4月 19日 14:00
-
【4月25日】ハイパーバイザーの基本を学ぶ、参加者にはもれなくプレゼント進呈
2024年4月25日(木)
-
日経クロステックNEXT 関西 2024
2024年5月16日(木)~5月17日(金)
-
人手不足を乗り越える 日本の産業界成長のシナリオ
2024年5月30日(木)開催予定
-
キャリア・オーナーシップが社会を変える
2024年6月3日(月)~6月5日(水)
おすすめの書籍
-
ソフトバンク もう一つの顔 成長をけん引する課題解決のプロ集団
ソフトバンクにはモバイルキャリア事業以外のもう一つの顔が存在する。本書ではキーパーソンへのインタ...
-
対立・抵抗を解消し合意に導く 改革リーダーのコミュニケーション術
本書は、改革リーダーに必須のコミュニケーション術を3つのスキルの観点からまとめ上げたものです。今...
-
もっと絞れる AWSコスト超削減術
本書ではコスト課題を解決するため、AWSコストを最適化し、テクニックによって削減する具体策を紹介...
-
優秀な人材が求める3つのこと 退職を前提とした組織運営と人材マネジメント
「学生に人気のコンサルであっても、大手企業であっても、せっかく獲得した人材が数年で辞めてしまう...
-
Web3の未解決問題
ブロックチェーン技術を主軸とするWeb3の技術について、現在の社会制度との摩擦と、その先にある新...
-
ロボット未来予測2033
ロボットの用途・市場はどう拡大していくのか。AI実装でロボットはどこまで進化するのか。技術の進展...
日経BOOKプラスの新着記事
日経クロステック Special
What's New
経営
- ジェイテクトエレクトロニクスのDX事例
- NTTドコモ支援の実践型教育プログラム
- DXを成功に導くITインフラとは?
- NTTデータに優秀なデジタル人財が集まる理由
- 地域創生で重要になる「事業化」の視点とは
- ERPプロジェクト≫IT人財の必須条件は
- 先進都市対談>生成AIは行政DXの切札?
- 多様化する地域の課題解決に向けて議論
- 地域×テクノロジーでミライを共創する
- 脱レガシー案件≫SIerに必要な人財像は
- 役所文化の変革!奈良市のデジタル市役所
- イノベーションの起爆剤
- 3段階で考える、DXで企業力を高める方法
- 石戸氏に聞く。生成AIを教育で使うには
- 東芝が描くDXの道筋とその先の未来とは
- 次世代技術をもっとリアルに体感したいなら
- 大規模プロジェクトでPMが注意すべき点は
- ファンケルの躍進を支えたMAの徹底活用術
- 経営戦略と連動したシステムのあるべき姿
- 大阪・名古屋エリアのDXが注目される理由
- 力点は「未来予測」へ:データ利活用の勘所
- 生成AI活用でSAP BTPの価値が進化
- ServiceNowでDXを加速≫方法は