5168(F): SPN で SMB/SMB2 のチェックに失敗しました。

Event 5168 illustration

サブカテゴリ: ファイル共有の監査

イベントの説明:

このイベントは、SMB SPN チェックが失敗したときに生成されます。

多くの場合、"Microsoft Network Server: Server SPN ターゲット名検証レベル" グループ ポリシーがサーバー側で "クライアントから要求する" に設定されている場合、クライアント側からの NTLMv1 または LM プロトコルの使用が原因で発生します。 SPN は、NTLMv2 または Kerberos プロトコルが使用されている場合にのみサーバーに送信され、その後に SPN を検証できます。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5168</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12808</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-18T17:53:40.294859800Z" /> 
 <EventRecordID>268946</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="80" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0xd0cd4</Data> 
 <Data Name="SpnName">N/A</Data> 
 <Data Name="ErrorCode">0xc0000022</Data> 
 <Data Name="ServerNames">CONTOSO;contoso.local;DC01.contoso.local;DC01;LocalHost;</Data> 
 <Data Name="ConfiguredNames">N/A</Data> 
 <Data Name="IpAddresses">127.0.0.1;::1;10.0.0.10;;fe80::31ea:6c3c:f40d:1973;;fe80::5efe:10.0.0.10;</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

OS の最小バージョン: Windows Server 2008 R2、Windows 7。

イベント バージョン: 0。

フィールドの説明:

サブジェクト:

  • セキュリティ ID [Type = SID]: SPN チェック操作が失敗したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

注:   セキュリティ識別子 (SID) は、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長で固有の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: SPN チェック操作が失敗したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON など、一部の既知のセキュリティ プリンシパルでは、このフィールドの値は"NT AUTHORITY"です。

    • ローカル ユーザー アカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が表示されます。たとえば、"Win81" などです。

  • ログオン ID [Type = HexInt64]: "4624: アカウントが正常にログオンされました" など、このイベントと同じログオン ID を含む可能性のある最近のイベントを関連付けるのに役立つ 16 進数値。

SPN:

  • SPN 名 [Type = UnicodeString]: サーバーへのアクセスに使用された SPN。 SPN が指定されていない場合、値は "N/A" になります。

メモ  サービス プリンシパル名 (SPN) は、クライアントがサービスのインスタンスを一意に識別する名前です。 フォレスト全体のコンピューターにサービスの複数のインスタンスをインストールする場合は、各インスタンスに独自の SPN が必要です。 クライアントが認証に使用する名前が複数ある場合、特定のサービス インスタンスに複数の SPN を指定できます。 たとえば、SPN には常にサービス インスタンスが実行されているホスト コンピューターの名前が含まれているため、サービス インスタンスはホストの名前またはエイリアスごとに SPN を登録できます。

  • エラー コード [Type = HexInt32]: "0xC0000022" = STATUS_ACCESS_DENIED など、16 進数のエラー コード。 すべての SMB エラー コードの説明については、 https://msdn.microsoft.com/library/ee441884.aspxを参照してください。

サーバー情報:

  • サーバー名 [Type = UnicodeString]: ターゲット サーバー (NETBIOS、DNS、localhost など) へのアクセスに使用できるサーバー名に関する情報。

  • 構成済みの名前 [Type = UnicodeString]: 検証のために指定された名前に関する情報。 情報が指定されていない場合、値は "N/A" になります。

  • IP アドレス [Type = UnicodeString]: ターゲット サーバー (IPv4、IPv6) へのアクセスに使用できる IP アドレスに関する情報。

セキュリティ監視の推奨事項

5168(F): SPN で SMB/SMB2 のチェックに失敗しました。

大事な  このイベントについては、「 付録 A: 多くの監査イベントのセキュリティ監視に関する推奨事項」も参照してください。

  • 構成の問題や悪意のある認証試行の兆候である可能性があるため、 5168 イベントの監視をお勧めします。