初めて投稿させて頂きます。
社内システム監査を担当しております。
イベントログにおいて不明な点があり困っております。お分かりになる方がいらっしゃいましたらご教示いただけますでしょうか。
【目的】
社内サーバーのログオン失敗監査を行い、不正なログオン試行されていないかを日々監査しております。
具体的には、windows セキュリティイベントログにてイベントID 4625 を参照することで、「いつ」「どのPCから」「どのサーバーへ」「どのユーザーIDで」「どの接続方式(リモートログオンなど)」でログオン失敗したのかを監査しております。
イベントID 4625 が出力される条件、出力されない条件を正確に把握したいのが目的です。
【環境】
(1) ドメインサーバー(windows server 2008)
(2) APサーバー(windows server 2008)
(3) 操作元PC(windows 7)
【前提】
・【環境】の(3) のPCから(2) のサーバーへドメインユーザーでリモートデスクトップからログイン失敗した場合を想定。
・ネットワークレベル認証は有効。
・ネットワークレベル認証が有効な状態で、「コンピューター」にIPアドレスを指定すると(2)のサーバーにイベントID 4625 が出力される。
・ネットワークレベル認証使用時は、「コンピューター」にホスト名を指定すると(2)のサーバーにイベントID 4625 が出力されない。
【質問】
【前提】に記載の条件で、リモートデスクトップ接続時に「コンピューター」にIPアドレスを指定すると(2) のサーバーにイベントID 4625 が出力され、「コンピューター」にホスト名を指定すると(2) のサーバーにイベントID 4625 が出力されないと認識しております。
ですが、特定の環境で「コンピューター」にホスト名を指定してもイベントID 4625 が出力されているように見受けられるものがあります。
イベントID 4625 が出力されたり出力されなかったりする条件はなんでしょうか。
社内システム監査を担当しております。
イベントログにおいて不明な点があり困っております。お分かりになる方がいらっしゃいましたらご教示いただけますでしょうか。
【目的】
社内サーバーのログオン失敗監査を行い、不正なログオン試行されていないかを日々監査しております。
具体的には、windows セキュリティイベントログにてイベントID 4625 を参照することで、「いつ」「どのPCから」「どのサーバーへ」「どのユーザーIDで」「どの接続方式(リモートログオンなど)」でログオン失敗したのかを監査しております。
イベントID 4625 が出力される条件、出力されない条件を正確に把握したいのが目的です。
【環境】
(1) ドメインサーバー(windows server 2008)
(2) APサーバー(windows server 2008)
(3) 操作元PC(windows 7)
【前提】
・【環境】の(3) のPCから(2) のサーバーへドメインユーザーでリモートデスクトップからログイン失敗した場合を想定。
・ネットワークレベル認証は有効。
・ネットワークレベル認証が有効な状態で、「コンピューター」にIPアドレスを指定すると(2)のサーバーにイベントID 4625 が出力される。
・ネットワークレベル認証使用時は、「コンピューター」にホスト名を指定すると(2)のサーバーにイベントID 4625 が出力されない。
【質問】
【前提】に記載の条件で、リモートデスクトップ接続時に「コンピューター」にIPアドレスを指定すると(2) のサーバーにイベントID 4625 が出力され、「コンピューター」にホスト名を指定すると(2) のサーバーにイベントID 4625 が出力されないと認識しております。
ですが、特定の環境で「コンピューター」にホスト名を指定してもイベントID 4625 が出力されているように見受けられるものがあります。
イベントID 4625 が出力されたり出力されなかったりする条件はなんでしょうか。