初めまして。
Windows Server 2003(R2)でドメインを管理しているものです。
ゆゆしき事態なのですが、管理者権限ユーザーで、
担当者以外がログインしているような状況がありました。
まだ疑惑の段階なのですが、はっきりさせる為に
ドメインのユーザーのログオン状況を監視できないか
客先から依頼がありました。
ネットで調べた所 ↓ 2000Serverではありますがこんな方法を見つけました。
http://
(上記URLのページの下の方のスクリプトを使用した例の事です)
皆さんのなかで、上記の方法を試された方がいらっしゃいましたら
注意点など教えていただけないでしょうか?
また上記の方法以外でこのような方法もある、というのも
もし有りましたら教えてください。
ちなみに、有料ツールなどはなるべく使用したくありません。
(客先も節約モードに入っているので)
どうかアドバイスをよろしくお願いいたします。
Windows Server 2003(R2)でドメインを管理しているものです。
ゆゆしき事態なのですが、管理者権限ユーザーで、
担当者以外がログインしているような状況がありました。
まだ疑惑の段階なのですが、はっきりさせる為に
ドメインのユーザーのログオン状況を監視できないか
客先から依頼がありました。
ネットで調べた所 ↓ 2000Serverではありますがこんな方法を見つけました。
http://
(上記URLのページの下の方のスクリプトを使用した例の事です)
皆さんのなかで、上記の方法を試された方がいらっしゃいましたら
注意点など教えていただけないでしょうか?
また上記の方法以外でこのような方法もある、というのも
もし有りましたら教えてください。
ちなみに、有料ツールなどはなるべく使用したくありません。
(客先も節約モードに入っているので)
どうかアドバイスをよろしくお願いいたします。
|
|
|
|
コメント(11)
アミバ 様 初めまして。
拓馬と申します。
ドメインに管理者権限でログオンするには、Domain Admins グループに所属している必要があるため、不正アクセスとしてみなされているアカウントは上記グループに所属しているという認識でよろしいでしょうか?
リンクにもございました "アカウント ログオン イベントの監査" を使えば、どのユーザーアカウントでドメインにログオンを試みたのかを確認することが可能ですね。
これは、Kerberos における認証の中で AS 交換における TGT 発行の挙動を監査できるためです。
上記の方法を使った場合の注意点としては、同一サイトに DC が複数存在するような場合では、クライアントが認証先として選択する DC は変更される可能性があるため、当該サイトの DC 全台で監査ログを取得する必要があります。
サイトの DC が全台オフラインになっていた場合には、リモートサイトの DC にて認証が実施される場合があり、この場合にはドメイン全台の DC での監査ログの取得が必要になります。
ただし、もし仮に不正アクセスをしていると思われるユーザーが、管理者権限でのオペレーションを可能にしているのであれば、監査ログを消すことさえ出来るので、解決の糸口となるかどうかは難しいかもしれません。
拓馬と申します。
ドメインに管理者権限でログオンするには、Domain Admins グループに所属している必要があるため、不正アクセスとしてみなされているアカウントは上記グループに所属しているという認識でよろしいでしょうか?
リンクにもございました "アカウント ログオン イベントの監査" を使えば、どのユーザーアカウントでドメインにログオンを試みたのかを確認することが可能ですね。
これは、Kerberos における認証の中で AS 交換における TGT 発行の挙動を監査できるためです。
上記の方法を使った場合の注意点としては、同一サイトに DC が複数存在するような場合では、クライアントが認証先として選択する DC は変更される可能性があるため、当該サイトの DC 全台で監査ログを取得する必要があります。
サイトの DC が全台オフラインになっていた場合には、リモートサイトの DC にて認証が実施される場合があり、この場合にはドメイン全台の DC での監査ログの取得が必要になります。
ただし、もし仮に不正アクセスをしていると思われるユーザーが、管理者権限でのオペレーションを可能にしているのであれば、監査ログを消すことさえ出来るので、解決の糸口となるかどうかは難しいかもしれません。
> 管理者権限ユーザーで、担当者以外がログインしているような状況がありました。
が、どうやって明らかになったのかという話は知らんですが、「アカウント ログオン イベントの監査」はデフォルトで有効になっていると思いますので、別にログオンスクリプトを仕込まなくてもログオン履歴を調査することはできます。
各ドメコンのイベントビューアでセキュリティのログ開いて、メニューの「表示」→「フィルタ」で、イベントIDの欄に 672 とか指定すれば良い。
あと、Windowsでイベントログ内のイベントを個別に消去する方法は無いと思われますので、ある時点から以前のログがごっそり無い(ログクリアされた)とかいう場合以外はログ削除の可能性はあまり考えなくていいと思いますよ。ちなみに「イベントログを消去した」という行為はそれはそれでログに残ります(イベントID 517)。
> そーいうのもクラッキングって言うのかな?
不正アクセス(=クラッキング)の成立要件は下の第三条ね。
「不正アクセス行為の禁止等に関する法律」
http://www.ipa.go.jp/security/ciadr/law199908.html
が、どうやって明らかになったのかという話は知らんですが、「アカウント ログオン イベントの監査」はデフォルトで有効になっていると思いますので、別にログオンスクリプトを仕込まなくてもログオン履歴を調査することはできます。
各ドメコンのイベントビューアでセキュリティのログ開いて、メニューの「表示」→「フィルタ」で、イベントIDの欄に 672 とか指定すれば良い。
あと、Windowsでイベントログ内のイベントを個別に消去する方法は無いと思われますので、ある時点から以前のログがごっそり無い(ログクリアされた)とかいう場合以外はログ削除の可能性はあまり考えなくていいと思いますよ。ちなみに「イベントログを消去した」という行為はそれはそれでログに残ります(イベントID 517)。
> そーいうのもクラッキングって言うのかな?
不正アクセス(=クラッキング)の成立要件は下の第三条ね。
「不正アクセス行為の禁止等に関する法律」
http://www.ipa.go.jp/security/ciadr/law199908.html
.>そう 様
>「アカウント ログオン イベントの監査」はデフォルトで有効になっていると思いますので、別にログオンスクリプトを仕込まなくてもログオン履歴を調査することはできます。
それは知っていますが、既出リンク先の
http://www.monyo.com/technical/windows/35.html
のページにある
"一方「ログオンイベントの監査」とは、図7のようにサーバに対するセッションの確立、切断を監査する機構になります。例えばサーバ上の共有ディレクトリに接続すると、セッションの確立が行われるため、イベントログに「ユーザのログオン」(ID: 540)が記録されます。しかし、セッションは明示的に処理が行われたり、デフォルトで15分無通信状態が続いたりした場合に切断され、イベントログには「ユーザのログオフ」(ID: 538)が記録されます。これは対話的なログオン、ログオフとは無関係に行われます。
また、そもそも 「318253: ユーザー ログオフ時に監査が機能しない」に記述されているように、監査が機能しないケースもあります。 "
これは、2003Serverには当てはまらないのでしょうか?
>「アカウント ログオン イベントの監査」はデフォルトで有効になっていると思いますので、別にログオンスクリプトを仕込まなくてもログオン履歴を調査することはできます。
それは知っていますが、既出リンク先の
http://www.monyo.com/technical/windows/35.html
のページにある
"一方「ログオンイベントの監査」とは、図7のようにサーバに対するセッションの確立、切断を監査する機構になります。例えばサーバ上の共有ディレクトリに接続すると、セッションの確立が行われるため、イベントログに「ユーザのログオン」(ID: 540)が記録されます。しかし、セッションは明示的に処理が行われたり、デフォルトで15分無通信状態が続いたりした場合に切断され、イベントログには「ユーザのログオフ」(ID: 538)が記録されます。これは対話的なログオン、ログオフとは無関係に行われます。
また、そもそも 「318253: ユーザー ログオフ時に監査が機能しない」に記述されているように、監査が機能しないケースもあります。 "
これは、2003Serverには当てはまらないのでしょうか?
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
Windows Serverを管理する人 更新情報
-
最新のアンケート
-
まだ何もありません
-
Windows Serverを管理する人のメンバーはこんなコミュニティにも参加しています
人気コミュニティランキング
- 1位
- お洒落な女の子が好き
- 90025人
- 2位
- 酒好き
- 170668人
- 3位
- 千葉 ロッテマリーンズ
- 37149人