web-dev-qa-db-ja.com

Windowsドメインコントローラの認証ログオンログとフォレンジック

この質問では、Windows Server 2003以前のOSは考慮されていません。

ローカルログオン(イベントID 4624)の場合、ログオンの種類(対話型、リモートなど)もログに記録されることを知っています。ドメインコントローラーログのみを収集することで、ドメイン認証でもログオンの種類を識別できる方法はありますか?つまり、4771や4768などのイベントIDは、ワークステーションでのユーザー認証(キーボードによる)と、ネットワークを介して認証するユーザーまたはサービスの両方によって生成できます。その場合、ログからこれを知る方法があります( 4771または4768)?または、ネットワークを介した認証は常にイベントID 4769でカバーされているため、イベントID 4771および4768はローカル認証にのみ残されますか?

3
treiman

いいえ、4624はローカルワークステーションへのログオンだけを目的としたものではありません。ドメインコントローラーでも発生します。ローカルログオンとドメインログオンの両方に同じルールが適用されます。

コツは、Logon Typeイベント4624にリストされています。イベントが言う場合

Logon Type: 3

これで、ネットワークログオンでした。これらのイベントは、ユーザー(またはコンピューター)がADドメインにログオンするときにドメインコントローラーで発生するため、ドメインコントローラーを収集することが目的です。

•2:対話型ログオン—これは、コンピューターのコンソールでのログオンに使用されます。タイプ2のログオンは、Windowsコンピューターのローカルキーボードと画面でログオンしようとすると記録されます。

•3:ネットワークログオン—このログオンは、リモートファイル共有またはプリンターにアクセスするときに発生します。また、インターネット認証サービス(IIS)へのほとんどのログオンは、基本認証プロトコルを使用するIISログオン(ログオンタイプ8として記録される)以外の)ネットワークログオンとして分類されます。

•4:バッチログオン—これは、スケジュールされたタスクに使用されます。 Windowsスケジューラサービスは、スケジュールされたタスクを開始すると、最初にタスクの新しいログオンセッションを作成し、タスクの作成時に指定されたアカウントのセキュリティコンテキストで実行できるようにします。

•5:サービスログオン—これは、サービスを開始するためにログオン>するサービスおよびサービスアカウントに使用されます。サービスが開始すると、Windowsはまず、サービス構成で指定されたユーザーアカウントのログオンセッションを作成します。

•7:ロック解除-これは、Windowsマシンのロックを解除するときに常に使用されます。

•8:ネットワーククリアテキストログオン-これは、ネットワーク経由でログオンし、パスワードがクリアテキストで送信される場合に使用されます。これは、たとえば、基本認証を使用してIISサーバーに認証する場合に発生します。

•9:新しい資格情報ベースのログオン-これは、RunAsコマンドを使用してアプリケーションを実行し、/ netonlyスイッチを指定するときに使用されます。/netonlyを使用してRunAsでプログラムを開始すると、プログラムは同じローカルID(これは現在ログオンしているユーザーのID)を持つ新しいログオンセッションで開始されますが、異なる資格情報(で指定された資格情報)を使用します。 runasコマンド)。他のネットワーク接続用。/netonlyを使用しない場合、Windowsはrunasコマンドで指定されたユーザーとしてローカルコンピューターとネットワーク上でプログラムを実行し、タイプ2でログオンイベントを記録します。

•10:リモートインタラクティブログオン-これは、ターミナルサービス、リモートデスクトップ、リモートアシスタンスなどのRDPベースのアプリケーションに使用されます。

•11:キャッシュされた対話型ログオン-これは、ユーザーがキャッシュされた資格情報を使用してログオンしたときに記録されます。つまり、ドメインコントローラーがない場合でも、ドメイン資格情報を使用してローカルマシンにログオンできます。 Windowsは、キャッシュされた資格情報を使用したログオンをサポートし、モバイルユーザーや頻繁に切断されるユーザーの生活を楽にします。

3
Ryan Ries