4964(S): 新しいログオンに特別なグループが割り当てられています。

  • [アーティクル]
Event 4964 illustration

サブカテゴリ: 特別なログオンの監査

イベントの説明:

このイベントは、定義されている 特殊グループ のメンバーであるアカウントがログインするときに発生します。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4964</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12548</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-11T02:25:16.236443300Z" /> 
 <EventRecordID>238923</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="504" ThreadID="5008" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0xd972e</Data> 
 <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data> 
 <Data Name="TargetUserSid">S-1-5-21-3457937927-2839227994-823803824-500</Data> 
 <Data Name="TargetUserName">ladmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x139faf</Data> 
 <Data Name="TargetLogonGuid">{B03B6192-09AE-E77F-DD10-2DC430766040}</Data> 
 <Data Name="SidList">%{S-1-5-21-3457937927-2839227994-823803824-512}</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン: 0。

メモ  特殊なグループは、Windows Vista と Windows Server 2008 の新機能です。 特別なグループ機能を使用すると、管理者は特定のグループのメンバーがコンピューターにログオンするタイミングを確認できます。 特殊なグループ機能を使用すると、管理者はレジストリ内のグループ セキュリティ識別子 (SID) の一覧を設定できます。

> 特殊なグループを追加するには、次のアクションを実行します。

> 1. レジストリ エディターを開きます。

> 2. 次のレジストリ サブキーを見つけてクリックします。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit

> 3. [編集] メニューの [新規] をポイントし、[文字列値] をクリックします。

> 4. 「SpecialGroups」と入力し、Enter キーを押します。

> 5. [SpecialGroups] を右クリックし、[変更] をクリックします。

> 6. [値の日付] ボックスにグループ SID を入力し、[OK] をクリックします。

> セミコロン文字 (;)を使用して SID リストを区切ることができます。 たとえば、セミコロンを含む次の文字列を使用して、2 つの SID を区切ることができます。

> S-1-5-32-544;S-1-5-32-123-54-65

> 詳細については、次を参照してください。 https://blogs.technet.com/b/askds/archive/2008/03/11/special-groups-auditing-via-group-policy-preferences.aspx

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: 新しいログオン アカウントのログオンを要求したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

注:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: 新しいログオン アカウントのログオンを要求したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

  • ログオン GUID [Type = GUID]: このイベントを同じ ログオン GUID を含めることができる別のイベントと関連付けるのに役立つ GUID。"4769(S, F): ドメイン コントローラーで Kerberos サービス チケットが要求されたイベント。

    また、4964 イベントと、同じ ログオン GUID を含めることができる他のいくつかのイベント (同じコンピューター上) の間の関連付けにも使用できます。"4648(S): 明示的な資格情報を使用してログオンが試行されました" と "4624(S): アカウントが正常にログオンされました。

    このパラメーターはイベントでキャプチャされない可能性があり、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されます。

メモ  GUID は、"グローバル一意識別子" の頭字語です。 これは、リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数値です。

新しいログオン:

  • セキュリティ ID [Type = SID]: ログオンを実行したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

  • アカウント名 [Type = UnicodeString]: ログオンを実行したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

  • ログオン GUID [Type = GUID]: このイベントを同じ ログオン GUID を含めることができる別のイベントと関連付けるのに役立つ GUID。"4769(S, F): ドメイン コントローラーで Kerberos サービス チケットが要求されたイベント。

    また、4964 イベントと、同じ ログオン GUID を含めることができる他のいくつかのイベント (同じコンピューター上) の間の関連付けにも使用できます。"4648(S): 明示的な資格情報を使用してログオンが試行されました" と "4624(S): アカウントが正常にログオンされました。

    このパラメーターはイベントでキャプチャされない可能性があり、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されます。

  • 割り当てられた特殊なグループ [Type = UnicodeString]: 新しいログオン\セキュリティ ID がメンバーである特殊なグループ SID の一覧。

セキュリティ監視の推奨事項

4964(S): 新しいログオンに特別なグループが割り当てられています。

  • 通常、 4964 イベントごとに監視する必要があります。特殊グループの目的は、重要または重要なグループ (Domain Admins、Enterprise Admins、サービス アカウント グループなど) の一覧を定義し、これらのグループのメンバーがコンピューターにログオンするたびにイベントをトリガーすることです。 たとえば、非管理ワークステーションにログオンするすべてのドメイン管理者を監視できます。