念のため、ルーターの設定は確認しておいた方がいいでしょう。特に見過ごしがちなのは、IPv6側のルーターのファイアウォールの設定です。NATが無い分IPv6側は危険なので、135~139番ポートと445番ポートへの外部からのアクセスと外部へのアクセスの両方を遮断しているか確認しておいた方がいいでしょう。
アクセス自体は、自分のパソコンに自分自身でアクセスしている場合もありますので、ルーターの設定確認で嫌疑が晴れれば問題ないでしょう。
イベントビューアのセキュリティについての質問です
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
Windows10 Homeを利用しています。
イベントビューアのセキュリティを確認したところ、
下記のログが頻繁に大量にありました。
ネットワーク共有機能などは使用していないため、
どこかから不正にログインなどされていないか心配になりました。
普通に利用していても、下記のようなイベントは
起きるのでしょうか…。
また、ワークグループ名は初期設定のまま
使うよりも、変更した方が安全なのでしょうか。
何かアドバイス頂けましたら幸いです。
よろしくお願いいたします。
イベントID:4672
セキュリティID:SYSTEM
新しいログオンに特権が割り当てられました
イベントID:4624
セキュリティID: SYSTEM
アカウントドメイン:(ワークグループ名)
アカウントが正常にログオンしました
イベントID:5379
資格情報マネージャーの資格情報が読み取られました
イベントID:5382
資格情報マネージャーの資格情報が読み取られました
イベントID:4625
アカウントがログオンに失敗しました
(セキュリティID: NULL SID アカウント名:Guest)
家庭向け Windows | Windows 10 | セキュリティとプライバシー
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
質問作成者が受け入れた回答
-
Anonymous
2020-10-27T19:03:15+00:00
質問作成者が受け入れた回答
-
Anonymous
2020-10-28T21:31:22+00:00 <失敗の監査 アカウントがログオンに失敗しました>
これも通常であれば問題ないものだと思います。
下のサイトが参考になるかもしれません(翻訳されていません)。
<It's by design. The core issue for the is that Network and Sharing Center wants to know whether the guest account is enabled for network access>
Event ID 4625 Null SID Guest account currently disabled
下のサイトの<8.「ファイルとプリンターの共有」の「ファイルとプリンターの共有を有効にする」をクリックします。>の項目にある[ファイルとプリンターの共有]の有効・無効を変えてみれば同じログが記録されます(下図)。
サブジェクトのアカウント名は自分のユーザー名です。
エラー情報は「アカウントは現在無効に設定されています」になっています。
前の返信に書いたことと合わせてログの記録に問題はないと思います。
もっとも、ほかの要因があるかどうか、これ以外にどの操作によって記録されているのかは分かりませんので、グループポリシーの設定でより詳細な記録を採り検証してみてもいいかもしれませんが面倒な作業になります。
質問の趣旨からは外れてしまいますので、必要があればネット検索などで調べてみてください。
専門サイトもあります。
TechNetフォーラム:Windows 10 IT Pro
-
Anonymous
2020-10-27T20:53:32+00:00 「イベントID:4672」と「イベントID:4624」は同じ時刻に記録されていませんか?
管理者権限があるユーザーであれば、起動時(ログオン時)に記録されるもので特に問題はないと思います。
<特権ユーザでログオン/ログオフすると、Idは4624でログオンした後、4672で特権ユーザに昇格している>
イベントログを全消去してから確認してみました。
「イベントID:4672」と「イベントID:4624」はログイン時刻から1分以内に10件程度のログが記録されました。
もしかしたら一定のサービス・プロセスの起動時などにも記録されるのかもしれませんが、これについてはよくわかりません。
大量に記録されるというのがどの程度なのか分かりませんが、通常であれば特に心配する必要はないと思います。
ほかの人からの情報もあればより確実なことが分かるかもしれません。
**追記:**ログオン状態を維持して再確認してみると、その後も記録されています。
再検証してみたら、スタートアップにない管理者権限が必要なアプリを初回起動すると記録されるようにも思われますが詳細は不明です。
特に問題があるとは思えませんが・・・
-
Anonymous
2020-10-27T18:16:04+00:00 ご回答いただき、ありがとうございます。
ワークグループ名は、変更しておいた方がやはり安全なのですね。変更いたしました。
ワークグループなど、LAN詳細についてあまりよくわかっておらず申し訳ありませんが、
使用しているのは自宅内で、LANの構築(他のPCやプリンターとwifi接続)はしておらず、
ネットにwifi接続しているのみです。
Guestアカウントの共有フォルダへのアクセスは、誰か第三者がネットワーク上(?)から
私のPCにアクセスを試みていたということでしょうか…。
Windowsのログオンアカウントは自分自身のアカウントでしかログインしていない状態です。
その他のイベントログは、セキュリティIDがSYSTEMや自分のPC名になっていたので
特に問題ないと考えて大丈夫でしょうか。
-
Anonymous
2020-10-27T16:42:24+00:00 ワークグループ名はデフォルトのWORKGROUPから変更した方が安全です。LAN内で同じファイルサーバーでデータを共有する範囲で統一されていれば問題ないので、変更しておいた方が安全です。企業なんかの場合他所の部署の端末やサーバーがコンピューターの一覧で表示されても煩雑なだけです。同一ワークグループで20台を超えないぐらいの範囲にすべきで、それ以上つながっているならドメイン管理に移行した方がいいでしょう。
Guestのアカウントについては、おそらく共有フォルダへのアクセスで発生しているものでしょう。Guestアカウントによる共有リソースへのアクセスがデフォルトで無効になる修正が行われているのと、Guestアカウント自体デフォルトではログインできるアカウントではないためにエラーが発生しています。