web-dev-qa-db-ja.com

イベント4797「アカウントの空のパスワードの存在を照会しようとしました」

Windows 8.1デスクトップで、イベントビューアの監査ログにlsass.exeからの次のようなメッセージがたくさん表示されます。

An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E5

Additional Information:
    Caller Workstation: PETTER
    Target Account Name:    Administrator
    Target Account Domain:  PETTER

AdministratorGuestHomeGroupUser$など、いくつかの異なるターゲットアカウント名でときどき表示されます。このメッセージは、インターネットに接続されているかどうか。

この背後に悪意がないことを確認するために、Malwarebytes、Trend Micro、およびAVGを使用してウイルスチェックを実行しました。これらはすべて、システムが実際にクリーンであることに同意しています。

次に、クリーンなシステムを再インストールしました。メッセージはまだしばらくしてから再び現れました。

システムがネットワークに接続されているかどうかは問題ではないようです。ネットワークケーブルが接続されていなくても、これらのメッセージが表示されます。 (S-1-5-19 "ローカルサービス"として実行されていることを考えると、それほど奇妙ではないかもしれません。)

不思議なことに、インターネット上で、この問題に直面している人はたくさんいるようですが、そこにあるスレッドや質問は未解決のままです。

これらのメッセージの起源とは何ですか?なぜ空のパスワードを常にスキャンするのですか?

auditpolの出力は次のとおりです。

C:\WINDOWS\system32>auditpol /get /user:Administrator /category:*
No audit policy is defined for the user account.

C:\WINDOWS\system32>auditpol /get /category:*
System audit policy
Category/Subcategory                      Setting
System
  Security System Extension               No Auditing
  System Integrity                        Success and Failure
  IPsec Driver                            No Auditing
  Other System Events                     Success and Failure
  Security State Change                   Success
Logon/Logoff
  Logon                                   Success
  Logoff                                  Success
  Account Lockout                         Success
  IPsec Main Mode                         No Auditing
  IPsec Quick Mode                        No Auditing
  IPsec Extended Mode                     No Auditing
  Special Logon                           Success
  Other Logon/Logoff Events               No Auditing
  Network Policy Server                   Success and Failure
  User / Device Claims                    No Auditing
Object Access
  File System                             No Auditing
  Registry                                No Auditing
  Kernel Object                           No Auditing
  SAM                                     No Auditing
  Certification Services                  No Auditing
  Application Generated                   No Auditing
  Handle Manipulation                     No Auditing
  File Share                              No Auditing
  Filtering Platform Packet Drop          No Auditing
  Filtering Platform Connection           No Auditing
  Other Object Access Events              No Auditing
  Detailed File Share                     No Auditing
  Removable Storage                       No Auditing
  Central Policy Staging                  No Auditing
Privilege Use
  Non Sensitive Privilege Use             No Auditing
  Other Privilege Use Events              No Auditing
  Sensitive Privilege Use                 No Auditing
Detailed Tracking
  Process Creation                        No Auditing
  Process Termination                     No Auditing
  DPAPI Activity                          No Auditing
  RPC Events                              No Auditing
Policy Change
  Authentication Policy Change            Success
  Authorization Policy Change             No Auditing
  MPSSVC Rule-Level Policy Change         No Auditing
  Filtering Platform Policy Change        No Auditing
  Other Policy Change Events              No Auditing
  Audit Policy Change                     Success
Account Management
  User Account Management                 Success
  Computer Account Management             No Auditing
  Security Group Management               Success
  Distribution Group Management           No Auditing
  Application Group Management            No Auditing
  Other Account Management Events         No Auditing
DS Access
  Directory Service Changes               No Auditing
  Directory Service Replication           No Auditing
  Detailed Directory Service Replication  No Auditing
  Directory Service Access                No Auditing
Account Logon
  Kerberos Service Ticket Operations      No Auditing
  Other Account Logon Events              No Auditing
  Kerberos Authentication Service         No Auditing
  Credential Validation                   No Auditing
9
Petter H

これは正常です。慌てないでください。

これら2つのイベントのいずれかが発生すると、これらのイベントの1つがローカルアカウントごとにログに記録されます。

  1. スタート画面のユーザータイルを押して、アカウント関連のオプションのドロップダウンを取得します。

    the user tile

    この場合、件名は現在ログインしているユーザーです(上のスクリーンショットではme)。ローカルのアカウントが結果のメニューに表示されないドメインに参加しているマシンでも、イベントはログに記録されます。

  2. ログオンUIが表示され、サインインできるローカルユーザーのリストが表示されます。この場合、件名はNT AUTHORITY\LOCAL SERVICE。ユーザー名とパスワードのみが入力されているドメインに参加しているマシンでは、イベントは記録されません。

イベントの意味については、それは缶詰でそれが言っていることです-対象として実行されているアプリケーションは、ターゲットアカウント名で指定されたアカウントの空白のパスワードをテストしました。 Windowsはそれを行うので、ユーザーが持っていないパスワードを要求する必要はありません。パスワードがないときにサインインする前にパスワードボックスが表示されると、混乱する場合があります。

Windowsは、ユーザーがログオン画面またはスイッチリストで他のユーザーのいずれかをクリックするまで、このチェックを行う必要はありませんが、実際にはそうします。

11
Ben N

これは社内のいくつかのシステムで発生したため、マイクロソフトに直行しました。

「イベントID 4947に関する私の発見によると「アカウントの空白のパスワードの存在を照会する試みが行われました」「ユーザーアカウント管理」の監査を有効にしている場合、このイベントを受け取ります

監査のレベルは情報提供であり、警告やエラーではありません。このイベントは情報提供のみを目的としており、万が一ユーザーが空白のパスワードに設定されているかどうかを確認するため、無視しても問題ありません。このイベントが表示されるのは、監査のみが有効であり、このイベントがシステムの違反を示唆していない場合のみです。」

2
smithari

セキュリティ監査

セキュリティ監査は、企業のセキュリティを維持するのに役立つ強力なツールです。監査は、フォレンジック分析、規制コンプライアンス、ユーザーアクティビティの監視、トラブルシューティングなど、さまざまな目的に使用できます。

Windowsのセキュリティログとシステムログを使用して、セキュリティイベント追跡システムを作成し、潜在的に有害な動作に関連するネットワークアクティビティを記録して保存し、それらのリスクを軽減できます。

出典: セキュリティ監査の概要

セキュリティ監査は、レジストリとファイルシステムへのアクセス、失敗したログオン試行、ユーザーアカウントの変更など、さまざまなカテゴリに分類されます。特定のカテゴリはデフォルトで有効になっています。利用可能なもののリストを取得するには、次のコマンドを 高度なコマンドプロンプト から実行します。

auditpol /get /category:*

イベント4797

典型的なイベントは次のようになります。

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          6/29/2014 10:39:58 AM
Event ID:      4797
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      <ComputerName>
Description:
An attempt was made to query the existence of a blank password for an account.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:           0x3E5

Additional Information:
    Caller Workstation:     <ComputerName>
    Target Account Name:    Administrator
    Target Account Domain:  <DomainName>

ご覧のとおり、カテゴリは ユーザーアカウント管理 で、ユーザーアカウントに関連する監査イベントが生成されます。他とは異なり、この特定のイベントは文書化されていないようです。

すべての監査ポリシーを無効にする

組み込みのセキュリティ監査機能が原因であるかどうかを確認するには、一時的にすべての監査ポリシーをクリアして、無効にすることができます。

  1. 管理者特権のコマンドプロンプトを開きます。

  2. 次のコマンドを実行して、監査ポリシーのバックアップを作成します。

    auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak"
    

    ファイルが正しく保存されたことを確認します。デスクトップに配置する必要があります。そうでない場合は、別のファイルパスを選択して再試行してください。

  3. すべての監査ポリシーを無効にします。

    auditpol /clear
    
  4. Windowsを再起動し、同じイベントが引き続き発生するかどうかを確認します。以前に作成したポリシーバックアップを復元するには、次のコマンドを実行します。

    auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak"
    

参考文献

2
and31415

Windows 10、「情報」メッセージ:イベントID 4947、「アカウントの空のパスワードの存在を照会しようとしました。」システム、イベントビューアに表示されるようになりました...心配でした。突然、このメッセージが表示される理由を確認するためのトラブルシューティング。 UACの「権限」は非常に制限されていたので、Appsへのアクセスを許可したことを思い出しました。

逆転し、「アカウントの空のパスワードの存在を照会する試みが行われた」ことに悩まされなくなりました。

自分への注意:壊れたものを%^#$ @ $持ってはいけません!

0
DLF