Windows 8.1デスクトップで、イベントビューアの監査ログにlsass.exe
からの次のようなメッセージがたくさん表示されます。
An attempt was made to query the existence of a blank password for an account.
Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE
Account Domain: NT AUTHORITY
Logon ID: 0x3E5
Additional Information:
Caller Workstation: PETTER
Target Account Name: Administrator
Target Account Domain: PETTER
Administrator
、Guest
、HomeGroupUser$
など、いくつかの異なるターゲットアカウント名でときどき表示されます。このメッセージは、インターネットに接続されているかどうか。
この背後に悪意がないことを確認するために、Malwarebytes、Trend Micro、およびAVGを使用してウイルスチェックを実行しました。これらはすべて、システムが実際にクリーンであることに同意しています。
次に、クリーンなシステムを再インストールしました。メッセージはまだしばらくしてから再び現れました。
システムがネットワークに接続されているかどうかは問題ではないようです。ネットワークケーブルが接続されていなくても、これらのメッセージが表示されます。 (S-1-5-19
"ローカルサービス"として実行されていることを考えると、それほど奇妙ではないかもしれません。)
不思議なことに、インターネット上で、この問題に直面している人はたくさんいるようですが、そこにあるスレッドや質問は未解決のままです。
これらのメッセージの起源とは何ですか?なぜ空のパスワードを常にスキャンするのですか?
auditpol
の出力は次のとおりです。
C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is defined for the user account.
C:\WINDOWS\system32>auditpol /get /category:*
System audit policy
Category/Subcategory Setting
System
Security System Extension No Auditing
System Integrity Success and Failure
IPsec Driver No Auditing
Other System Events Success and Failure
Security State Change Success
Logon/Logoff
Logon Success
Logoff Success
Account Lockout Success
IPsec Main Mode No Auditing
IPsec Quick Mode No Auditing
IPsec Extended Mode No Auditing
Special Logon Success
Other Logon/Logoff Events No Auditing
Network Policy Server Success and Failure
User / Device Claims No Auditing
Object Access
File System No Auditing
Registry No Auditing
Kernel Object No Auditing
SAM No Auditing
Certification Services No Auditing
Application Generated No Auditing
Handle Manipulation No Auditing
File Share No Auditing
Filtering Platform Packet Drop No Auditing
Filtering Platform Connection No Auditing
Other Object Access Events No Auditing
Detailed File Share No Auditing
Removable Storage No Auditing
Central Policy Staging No Auditing
Privilege Use
Non Sensitive Privilege Use No Auditing
Other Privilege Use Events No Auditing
Sensitive Privilege Use No Auditing
Detailed Tracking
Process Creation No Auditing
Process Termination No Auditing
DPAPI Activity No Auditing
RPC Events No Auditing
Policy Change
Authentication Policy Change Success
Authorization Policy Change No Auditing
MPSSVC Rule-Level Policy Change No Auditing
Filtering Platform Policy Change No Auditing
Other Policy Change Events No Auditing
Audit Policy Change Success
Account Management
User Account Management Success
Computer Account Management No Auditing
Security Group Management Success
Distribution Group Management No Auditing
Application Group Management No Auditing
Other Account Management Events No Auditing
DS Access
Directory Service Changes No Auditing
Directory Service Replication No Auditing
Detailed Directory Service Replication No Auditing
Directory Service Access No Auditing
Account Logon
Kerberos Service Ticket Operations No Auditing
Other Account Logon Events No Auditing
Kerberos Authentication Service No Auditing
Credential Validation No Auditing
これは正常です。慌てないでください。
これら2つのイベントのいずれかが発生すると、これらのイベントの1つがローカルアカウントごとにログに記録されます。
スタート画面のユーザータイルを押して、アカウント関連のオプションのドロップダウンを取得します。
この場合、件名は現在ログインしているユーザーです(上のスクリーンショットではme)。ローカルのアカウントが結果のメニューに表示されないドメインに参加しているマシンでも、イベントはログに記録されます。
NT AUTHORITY\LOCAL SERVICE
。ユーザー名とパスワードのみが入力されているドメインに参加しているマシンでは、イベントは記録されません。イベントの意味については、それは缶詰でそれが言っていることです-対象として実行されているアプリケーションは、ターゲットアカウント名で指定されたアカウントの空白のパスワードをテストしました。 Windowsはそれを行うので、ユーザーが持っていないパスワードを要求する必要はありません。パスワードがないときにサインインする前にパスワードボックスが表示されると、混乱する場合があります。
Windowsは、ユーザーがログオン画面またはスイッチリストで他のユーザーのいずれかをクリックするまで、このチェックを行う必要はありませんが、実際にはそうします。
これは社内のいくつかのシステムで発生したため、マイクロソフトに直行しました。
「イベントID 4947に関する私の発見によると「アカウントの空白のパスワードの存在を照会する試みが行われました」「ユーザーアカウント管理」の監査を有効にしている場合、このイベントを受け取ります
監査のレベルは情報提供であり、警告やエラーではありません。このイベントは情報提供のみを目的としており、万が一ユーザーが空白のパスワードに設定されているかどうかを確認するため、無視しても問題ありません。このイベントが表示されるのは、監査のみが有効であり、このイベントがシステムの違反を示唆していない場合のみです。」
セキュリティ監査は、企業のセキュリティを維持するのに役立つ強力なツールです。監査は、フォレンジック分析、規制コンプライアンス、ユーザーアクティビティの監視、トラブルシューティングなど、さまざまな目的に使用できます。
Windowsのセキュリティログとシステムログを使用して、セキュリティイベント追跡システムを作成し、潜在的に有害な動作に関連するネットワークアクティビティを記録して保存し、それらのリスクを軽減できます。
出典: セキュリティ監査の概要
セキュリティ監査は、レジストリとファイルシステムへのアクセス、失敗したログオン試行、ユーザーアカウントの変更など、さまざまなカテゴリに分類されます。特定のカテゴリはデフォルトで有効になっています。利用可能なもののリストを取得するには、次のコマンドを 高度なコマンドプロンプト から実行します。
auditpol /get /category:*
典型的なイベントは次のようになります。
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 6/29/2014 10:39:58 AM
Event ID: 4797
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: <ComputerName>
Description:
An attempt was made to query the existence of a blank password for an account.
Subject:
Security ID: LOCAL SERVICE
Account Name: LOCAL SERVICE
Account Domain: NT AUTHORITY
Logon ID: 0x3E5
Additional Information:
Caller Workstation: <ComputerName>
Target Account Name: Administrator
Target Account Domain: <DomainName>
ご覧のとおり、カテゴリは ユーザーアカウント管理 で、ユーザーアカウントに関連する監査イベントが生成されます。他とは異なり、この特定のイベントは文書化されていないようです。
組み込みのセキュリティ監査機能が原因であるかどうかを確認するには、一時的にすべての監査ポリシーをクリアして、無効にすることができます。
管理者特権のコマンドプロンプトを開きます。
次のコマンドを実行して、監査ポリシーのバックアップを作成します。
auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak"
ファイルが正しく保存されたことを確認します。デスクトップに配置する必要があります。そうでない場合は、別のファイルパスを選択して再試行してください。
すべての監査ポリシーを無効にします。
auditpol /clear
Windowsを再起動し、同じイベントが引き続き発生するかどうかを確認します。以前に作成したポリシーバックアップを復元するには、次のコマンドを実行します。
auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak"
Windows 10、「情報」メッセージ:イベントID 4947、「アカウントの空のパスワードの存在を照会しようとしました。」システム、イベントビューアに表示されるようになりました...心配でした。突然、このメッセージが表示される理由を確認するためのトラブルシューティング。 UACの「権限」は非常に制限されていたので、Appsへのアクセスを許可したことを思い出しました。
逆転し、「アカウントの空のパスワードの存在を照会する試みが行われた」ことに悩まされなくなりました。
自分への注意:壊れたものを%^#$ @ $持ってはいけません!