4622(S): セキュリティ パッケージがローカル セキュリティ機関によって読み込まれています。

Event 4622 illustration

サブカテゴリ:  セキュリティ システム拡張機能の監査

イベントの説明:

このイベントは、セキュリティ パッケージが ローカル セキュリティ機関(LSA)によって読み込まれる度に生成されます。

セキュリティ パッケージは、セキュリティ プロトコル (Kerberos、NTLM など) のソフトウェア実装です。 セキュリティ パッケージは、セキュリティ サポート プロバイダー DLL またはセキュリティ サポート プロバイダー/認証パッケージ DLL に含まれています。

システムが起動する度に、LSA は HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages レジストリ値からセキュリティ パッケージ DLL を読み込み、これらの DLL 内のすべてのパッケージの初期化シーケンスを実行します。

また、システムの起動プロセス中だけでなく 、AddSecurityPackage 関数を使用してセキュリティ パッケージを動的に追加できます。

**注: **  推奨事項については、このイベントの「セキュリティ監視の推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4622</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12289</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-10-14T03:36:41.359331100Z" /> 
 <EventRecordID>1048131</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="520" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SecurityPackageName">C:\\Windows\\system32\\kerberos.DLL : Kerberos</Data> 
 </EventData>
 </Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベントのバージョン: 0.

フィールドの説明:

セキュリティ パッケージ名 [Type = UnicodeString]: 読み込まれたセキュリティ パッケージの名前。 形式は、DLL_PATH_AND_NAME: SECURITY_PACKAGE_NAME。

これらは、既定で読み込まれるセキュリティ パッケージ DLL の一部Windows 10。

  • C:\Windows\system32\schannel.DLL : Microsoft Unified Security Protocol Provider

  • C:\Windows\system32\schannel.DLL : Schannel

  • C:\Windows\system32\cloudAP.DLL : CloudAP

  • C:\Windows\system32\wdigest.DLL : WDigest

  • C:\Windows\system32\pku2u.DLL : pku2u

  • C:\Windows\system32\tspkg.DLL : TSSSP

  • C:\Windows\system32\msv1_0.DLL : NTLM

  • C:\Windows\system32\kerberos.DLL : Kerberos

  • C:\Windows\system32\negoexts.DLL : NegoExtender

  • C:\Windows\system32\lsasrv.dll : ネゴシエート

セキュリティ監視の推奨事項

4622(S): セキュリティ パッケージがローカル セキュリティ機関によって読み込まれています。

  • 通常、このイベントには情報の目的があります。 システムで許可されるセキュリティ パッケージの一覧を定義した場合は、許可リストの "セキュリティ パッケージ名 " フィールド値を確認できます。