4624(S): アカウントが正常にログオンしました。

Event 4624 illustration

サブカテゴリ: ログオンの監査

イベントの説明:

このイベントは、ログオン セッションが作成されたときに生成されます (宛先マシン上)。 これは、セッションが作成された、アクセスされたコンピューターで生成されます。

注意

推奨事項については、このイベントの セキュリティ監視に関する推奨事項 を参照してください。


イベント XML:

<?xml version="1.0"?>
<Event
    xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}"/>
        <EventID>4624</EventID>
        <Version>2</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2015-11-12T00:24:35.079785200Z"/>
        <EventRecordID>211</EventRecordID>
        <Correlation ActivityID="{00D66690-1CDF-0000-AC66-D600DF1CD101}"/>
        <Execution ProcessID="716" ThreadID="760"/>
        <Channel>Security</Channel>
        <Computer>WIN-GG82ULGC9GO</Computer>
        <Security/>
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data>
        <Data Name="SubjectDomainName">WORKGROUP</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
        <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-500</Data>
        <Data Name="TargetUserName">Administrator</Data>
        <Data Name="TargetDomainName">WIN-GG82ULGC9GO</Data>
        <Data Name="TargetLogonId">0x8dcdc</Data>
        <Data Name="LogonType">2</Data>
        <Data Name="LogonProcessName">User32</Data>
        <Data Name="AuthenticationPackageName">Negotiate</Data>
        <Data Name="WorkstationName">WIN-GG82ULGC9GO</Data>
        <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x44c</Data>
        <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data>
        <Data Name="IpAddress">127.0.0.1</Data>
        <Data Name="IpPort">0</Data>
        <Data Name="ImpersonationLevel">%%1833</Data>
        <Data Name="RestrictedAdminMode">-</Data>
        <Data Name="TargetOutboundUserName">-</Data>
        <Data Name="TargetOutboundDomainName">-</Data>
        <Data Name="VirtualAccount">%%1843</Data>
        <Data Name="TargetLinkedLogonId">0x0</Data>
        <Data Name="ElevatedToken">%%1842</Data>
    </EventData>
</Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン:

  • 0 - Windows Server 2008、Windows Vista。

  • 1 - Windows Server 2012、Windows 8。

    • "偽装レベル" フィールドを追加しました。
  • 2 – Windows 10。

    • "ログオン情報:" セクションを追加しました。

    • ログオンの種類 が "ログオン情報:" セクションに移動しました。

    • [制限付き管理モード] フィールドを追加しました。

    • [仮想アカウント] フィールドを追加しました。

    • "昇格されたトークン" フィールドを追加しました。

    • [リンクされたログオン ID] フィールドを追加しました。

    • [ネットワーク アカウント名] フィールドを追加しました。

    • [ネットワーク アカウント ドメイン] フィールドを追加しました。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: 成功したログオンに関する情報を報告したり、それを呼び出したりするアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    注意

          **セキュリティ識別子 (SID)** は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「[セキュリティ識別子](/windows/access-protection/access-control/security-identifiers)」を参照してください。
    
  • アカウント名 [Type = UnicodeString]: 成功したログオンに関する情報を報告したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が含まれます(例: "Win81")。

  • ログオン ID [Type = HexInt64]: このイベントを、"4672(S): 新しいログオンに割り当てられた特別な特権" など、同じログオン ID を含む可能性がある最近のイベントと関連付けるのに役立つ 16 進値。

ログオン情報 [バージョン 2]:

  • ログオンの種類 [バージョン 0、1、2] [Type = UInt32]: 実行されたログオンの種類。 次の表に、このフィールドで使用できる値の一覧を示します。

ログオンの種類と説明

ログオン タイプ ログオン タイトル 説明
0 System システム の起動時など、システム アカウントでのみ使用されます。
2 Interactive ユーザーがこのコンピューターにログオンしました。
3 Network ネットワークからこのコンピューターにログオンしたユーザーまたはコンピューター。
4 Batch バッチ ログオンの種類はバッチ サーバーによって使用され、そこではプロセスが直接介入せずにユーザーの代わりに実行される可能性があります。
5 Service サービス コントロール マネージャーによってサービスが開始されました。
7 Unlock このワークステーションのロックが解除されました。
8 NetworkCleartext ユーザーがネットワークからこのコンピューターにログオンしました。 ユーザーのパスワードは、非ハッシュ化形式で認証パッケージに渡されました。 組み込みの認証では、ネットワーク経由で送信する前に、すべてのハッシュ資格情報がパッケージ化されます。 資格情報は、プレーンテキスト (クリア テキストとも呼ばれます) でネットワークを通過しません。
9 NewCredentials 送信元が現在のトークンを複製し、送信接続用に新しい資格情報を指定しました。 新しいログオン セッションのローカル ID は同じですが、他のネットワーク接続には異なる資格情報を使用します。
10 RemoteInteractive ターミナル サービスまたはリモート デスクトップを使用してリモートでこのコンピューターにログオンしたユーザー。
11 CachedInteractive コンピューターにローカルに保存されたネットワーク資格情報を使用してこのコンピューターにログオンしたユーザー。 資格情報を確認するために、ドメイン コントローラーに接続できませんでした。
12 CachedRemoteInteractive RemoteInteractive と同じです。 これは、内部監査に使用されます。
13 CachedUnlock ワークステーション ログオン。
  • 制限付き管理 モード [バージョン 2] [Type = UnicodeString]: RemoteInteractive ログオンの種類セッションに対してのみ設定されます。 これは、指定された資格情報が制限付き管理モードを使用して渡されたかどうかを示すはい/いいえフラグです。 制限付き管理 モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。

    リファレンス: https://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx

    RemoteInteractive ログオンでない場合、これは "-" 文字列になります。

  • 仮想アカウント [バージョン 2] [Type = UnicodeString]: "はい" または "いいえ" フラグ。これは、アカウントが仮想アカウント (例: "マネージド サービス アカウント") であるかどうかを示します。これは、Windows 7 と Windows Server 2008 R2 で導入され、特定のサービスが使用するアカウントを識別する機能を提供するために "NetworkService" を使用する機能を提供します。

  • 昇格されたトークン [バージョン 2] [Type = UnicodeString]: "Yes" または "No" フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者権限を持ちます。

偽装レベル [バージョン 1,2] [Type = UnicodeString]: には、次の 4 つの値のいずれかを指定できます。

  • SecurityAnonymous ( 空の文字列として表示): サーバー プロセスは、クライアントに関する識別情報を取得できず、クライアントを偽装できません。 値が指定されていない状態で定義されているため、ANSI C 規則では既定値は 0 です。

  • SecurityIdentification ("識別" と表示): サーバー プロセスは、セキュリティ識別子や特権など、クライアントに関する情報を取得できますが、クライアントを偽装することはできません。 これは、テーブルやビューをエクスポートするデータベース製品など、独自のオブジェクトをエクスポートするサーバーに役立ちます。 取得したクライアントセキュリティ情報を使用して、サーバーは、クライアントのセキュリティ コンテキストを使用している他のサービスを使用することなく、アクセス検証の決定を行うことができます。

  • SecurityImpersonation ("偽装" と表示): サーバー プロセスは、ローカル システムでクライアントのセキュリティ コンテキストを偽装できます。 サーバーは、リモート システム上のクライアントを偽装できません。 これは最も一般的な型です。

  • SecurityDelegation ("委任" と表示): サーバー プロセスは、リモート システムでクライアントのセキュリティ コンテキストを偽装できます。

新しいログオン:

  • セキュリティ ID [Type = SID]: ログオンが実行されたアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    注意

          **セキュリティ識別子 (SID)** は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「[セキュリティ識別子](/windows/access-protection/access-control/security-identifiers)」を参照してください。
    
  • アカウント名 [Type = UnicodeString]: ログオンが実行されたアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が含まれます(例: "Win81")。

  • ログオン ID [Type = HexInt64]: このイベントを、"4672(S): 新しいログオンに割り当てられた特別な特権" など、同じログオン ID を含む可能性がある最近のイベントと関連付けるのに役立つ 16 進値。

  • リンクされたログオン ID [バージョン 2] [Type = HexInt64]: ペアリングされたログオン セッションの 16 進値。 このログオン セッションに関連付けられている他のログオン セッションがない場合、値は "0x0" です。

  • ネットワーク アカウント名 [バージョン 2] [Type = UnicodeString]: 送信 (ネットワーク) 接続に使用されるユーザー名。 NewCredentials ログオンの種類に対してのみ有効です。

    NewCredentials ログオンではない場合、これは "-" 文字列になります。

  • ネットワーク アカウント ドメイン [バージョン 2] [Type = UnicodeString]: 送信 (ネットワーク) 接続に使用されるユーザーのドメイン。 NewCredentials ログオンの種類に対してのみ有効です。

    NewCredentials ログオンではない場合、これは "-" 文字列になります。

  • ログオン GUID [Type = GUID]: このイベントを同じ ログオン GUID を含めることができる別のイベントと関連付けるのに役立つ GUID。"4769(S, F): ドメイン コントローラーで Kerberos サービス チケットが要求されました。

    また、4624 イベントと、同じ ログオン GUID を含めることができる他のいくつかのイベント (同じコンピューター上) の間の関連付けにも使用できます。"4648(S): 明示的な資格情報を使用してログオンが試行されました" と "4964(S): 特別なグループが新しいログオンに割り当てられています。

    このパラメーターはイベントでキャプチャされない可能性があり、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されます。

    注意

    GUID は、"グローバル一意識別子" の頭字語です。 これは、リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数値です。

プロセス情報:

  • プロセス ID [Type = Pointer]: ログオンを試行したプロセスの 16 進数のプロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムで使用される番号です。 特定のプロセスの PID を表示するには、たとえば、次のようにタスク マネージャー ([詳細] タブの PID 列) を使用します。

    Task manager illustration

    16 進数の値を 10 進数に変換することで、タスク マネージャーの値と比較することができます。

    このプロセス ID を、"4688: 新しいプロセスが作成されました" などの他のイベントのプロセス ID と関連付けることもできます。プロセス情報\新しいプロセス ID

  • プロセス名 [Type = UnicodeString]: プロセスの完全パスと実行可能ファイルの名前。

ネットワーク情報:

  • ワークステーション名 [Type = UnicodeString]: ログオン試行が実行されたコンピューター名。

  • ソース ネットワーク アドレス [Type = UnicodeString]: ログオン試行が実行されたコンピューターの IP アドレス。

    • クライアントの IPv6 アドレスまたは ::ffff:IPv4 アドレス。

    • ::1 または 127.0.0.1 は localhost を意味します。

  • ソース ポート [Type = UnicodeString]: リモート コンピューターからのログオン試行に使用されたソース ポート。

    • 対話型ログオンの場合は 0。

詳細な認証情報:

  • ログオン プロセス [Type = UnicodeString]: ログオンに使用された信頼されたログオン プロセスの名前。 詳細については、イベント "4611: 信頼されたログオン プロセスがローカル セキュリティ機関に登録されました" の説明を参照してください。

  • 認証パッケージ [Type = UnicodeString]: ログオン認証プロセスに使用された認証パッケージの名前。 LSA 起動時に読み込まれる既定のパッケージは、レジストリ キー "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig" にあります。 他のパッケージは実行時に読み込むことができます。 新しいパッケージが読み込まれると、"4610: 認証パッケージがローカル セキュリティ機関によって読み込まれました" (通常は NTLM の場合) または "4622: ローカル セキュリティ機関によってセキュリティ パッケージが読み込まれました" (通常は Kerberos の場合) イベントがログに記録され、新しいパッケージがパッケージ名と共に読み込まれたことを示します。 最も一般的な認証パッケージは次のとおりです:

    • NTLM – NTLM ファミリ認証

    • Kerberos – Kerberos 認証。

    • ネゴシエート – ネゴシエート セキュリティ パッケージでは、Kerberos プロトコルと NTLM プロトコルの間で選択されます。 ネゴシエートは、認証に関連するシステムの 1 つでも使用できない場合、または呼び出し元のアプリケーションが Kerberos を使用するための十分な情報を提供していない場合を除き、Kerberos を選択します。

  • 転送されたサービス [Type = UnicodeString] [Kerberos-only]: 送信されたサービスの一覧。 送信されたサービスは、ログオンが S4U (Service For User) ログオン プロセスの結果である場合に設定されます。 S4U は、ユーザーに代わってアプリケーション サービスが Kerberos サービス チケットを取得できるようにする Kerberos プロトコルの Microsoft 拡張機能です。最も一般的に、フロントエンド Web サイトがユーザーに代わって内部リソースにアクセスします。 S4U の詳細については、次を参照してください https://msdn.microsoft.com/library/cc246072.aspx

  • パッケージ名 (NTLM のみ) [Type = UnicodeString]: ログオン中に使用された LAN Manager サブパッケージ (NTLM ファミリ プロトコル名) の名前。 設定可能な値は、次のとおりです。

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      "認証パッケージ" = "NTLM" の場合にのみ設定されます。

  • キーの長さ [Type = UInt32]: NTLM セッション セキュリティ キーの長さ。 通常、128 ビットまたは 56 ビットの長さがあります。 このパラメーターは、Kerberos プロトコルには適用できないため、"認証パッケージ" = "Kerberos" の場合は常に 0 です。 また、Kerberos が ネゴシエート 認証パッケージを使用してネゴシエートされた場合、このフィールドには "0" の値が設定されます。

セキュリティ監視の推奨事項

4624(S): アカウントが正常にログオンしました。

必要な監視の種類 推奨
高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。
高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。
このイベントは、価値の高いアカウントまたはアカウントに対応する "New Logon\Security ID" で監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常または悪意のあるアクションを監視する場合は、 "New Logon\Security ID" (他の情報と共に) を使用して、特定のアカウントが使用されている方法とタイミングを監視します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 このイベントは、使用してはならないアカウントに対応する "New Logon\Security ID" で監視します。
アカウント許可一覧: 特定のイベントに対応するアクションの実行が許可されているアカウントの特定の許可リストがある場合があります。 このイベントが "allowlist-only" アクションに対応する場合は、許可リストの外部にあるアカウントの "新しいログオン\セキュリティ ID" を 確認します。
異なる種類のアカウント: 特定のアクションが特定のアカウントの種類 (ローカルまたはドメインのアカウント、コンピューターまたはユーザー アカウント、仕入先や従業員のアカウントなど) にのみ実行されていることを確認することができます。 このイベントが、特定のアカウントの種類を監視するアクションに対応している場合は、 "New Logon\Security ID" を 確認して、アカウントの種類が想定どおりであるかどうかを確認します。
外部アカウント: 別のドメインのアカウント、または特定のアクション (ある特定のイベントによって表される) の実行を許可されていない “外部” アカウントを監視している可能性があります。 このイベントで、別のドメインまたは "外部" アカウントのアカウントに対応する "Subject\Account Domain" を監視します。
制限されたコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常のアクションを実行してはいけない特定のコンピューター、機器、またはデバイスを所有している場合があります。 対象 のコンピューター (またはその他のターゲット デバイス) を監視し、関心のある "新しいログオン\セキュリティ ID" によって実行されるアクションを確認します。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 名前付け規則に準拠していない名前の "Subject\Account Name" を 監視します。
  • このイベントは通常、SYSTEM アカウントによってトリガーされるため、 "Subject\Security ID" が SYSTEM ではない場合は必ず報告することをお勧めします。

  • 特定のアカウントによるログオンに "制限付き管理" モードを使用する必要がある場合は、このイベントを使用して、"ログオンの種類"=10 と "制限付き管理 モード"="はい" に関連して "New Logon\Security ID" によってログオンを監視します。 これらのアカウントの "制限付き管理 モード"="いいえ" の場合は、アラートをトリガーします。

  • 管理者特権を持つアカウントのすべてのログオン イベントを監視する必要がある場合は、"管理者特権トークン"="はい" でこのイベントを監視します。

  • マネージド サービス アカウントとグループマネージド サービス アカウントのすべてのログオン イベントを監視する必要がある場合は、"Virtual Account"="Yes" を使用してイベントを監視します。

  • ログオン タイプとそれを使用するアカウントとの不一致を監視するには (たとえば、ログオン タイプ 4-Batch または 5-Service がドメイン管理グループのメンバーによって使用されている場合)、このイベントの ログオン タイプ を監視します。

  • 組織が次の方法でログオンを制限している場合は、このイベントを使用してそれに準じて監視できます:

    • ユーザー アカウント "New Logon\Security ID" を使用して特定のコンピューターからログオンする必要がない場合 :

    • ワークステーション名またはソース ネットワーク アドレスから新しい Logon\Security ID 資格情報を使用しない場合。

    • サービス アカウントなどの特定のアカウントは、内部 IP アドレス一覧 (または他の IP アドレス一覧) からのみ使用する必要があります。 この場合は、 ネットワーク情報\送信元ネットワーク アドレス を監視し、ネットワーク アドレスと IP アドレス一覧を比較できます。

    • 特定バージョンの NTLM が常に組織内で使用されている場合。 この場合、このイベントを使用して パッケージ名 (NTLM のみ) を監視できます。たとえば、パッケージ名 (NTLM のみ)NTLM V2と等しくないイベントを検索できます。

    • NTLM が組織で使用されていない場合、または特定のアカウントで使用しない場合 (新規ログオン\セキュリティ ID)。 この場合は、認証パッケージ が NTLM であるすべてのイベントを監視します。

    •    **認証パッケージ** が NTLM の場合。 この場合は、Windows 2000 以降すべて 128 ビット がサポートされているため、**キーの長さ**が 128 に等しくない場合を監視します。
      
  • 悪意のある可能性のあるソフトウェア、またはログオン操作を要求する権限のないソフトウェアを監視する場合は、このイベントの [プロセス名] を監視します。

  • 信頼されたログオン プロセスの一覧がある場合は、一覧にない ログオン プロセス を監視します。