4624: アカウントのログオンが正常に完了しました。

適用対象

  • Windows 10
  • Windows Server 2016

Event 4624 illustration

サブカテゴリ: ログオンの監査

イベントの説明:

このイベントは、ログオンセッション (移行先コンピューター) が作成されたときに生成されます。 これは、セッションが作成された、アクセスされたコンピューター上に生成されます。

**** 注 推奨事項については、「このイベントのセキュリティ監視に関する推奨事項」を参照してください。


イベント XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4624</EventID> 
 <Version>2</Version> 
 <Level>0</Level> 
 <Task>12544</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-11-12T00:24:35.079785200Z" /> 
 <EventRecordID>211</EventRecordID> 
 <Correlation ActivityID="{00D66690-1CDF-0000-AC66-D600DF1CD101}" /> 
 <Execution ProcessID="716" ThreadID="760" /> 
 <Channel>Security</Channel> 
 <Computer>WIN-GG82ULGC9GO</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-18</Data> 
 <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data> 
 <Data Name="SubjectDomainName">WORKGROUP</Data> 
 <Data Name="SubjectLogonId">0x3e7</Data> 
 <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-500</Data> 
 <Data Name="TargetUserName">Administrator</Data> 
 <Data Name="TargetDomainName">WIN-GG82ULGC9GO</Data> 
 <Data Name="TargetLogonId">0x8dcdc</Data> 
 <Data Name="LogonType">2</Data> 
 <Data Name="LogonProcessName">User32</Data> 
 <Data Name="AuthenticationPackageName">Negotiate</Data> 
 <Data Name="WorkstationName">WIN-GG82ULGC9GO</Data> 
 <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data> 
 <Data Name="TransmittedServices">-</Data> 
 <Data Name="LmPackageName">-</Data> 
 <Data Name="KeyLength">0</Data> 
 <Data Name="ProcessId">0x44c</Data> 
 <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data> 
 <Data Name="IpAddress">127.0.0.1</Data> 
 <Data Name="IpPort">0</Data> 
 <Data Name="ImpersonationLevel">%%1833</Data> 
 <Data Name="RestrictedAdminMode">-</Data> 
 <Data Name="TargetOutboundUserName">-</Data> 
 <Data Name="TargetOutboundDomainName">-</Data> 
 <Data Name="VirtualAccount">%%1843</Data> 
 <Data Name="TargetLinkedLogonId">0x0</Data> 
 <Data Name="ElevatedToken">%%1842</Data> 
 </EventData>
 </Event>

必要なサーバーの役割:-.

OS の最小バージョン: Windows Server 2008、Windows Vista。

イベントのバージョン:

  • 0-windows Server 2008、Windows Vista。

  • 1-windows Server 2012、Windows 8。

    • "偽装レベル" フィールドが追加されました。
  • 2– Windows 10。

    • "ログオン情報:" セクションが追加されました。

    • [ログオン情報:] セクションに移動されたログオンの種類

    • "制限付き管理者モード" フィールドが追加されました。

    • "仮想アカウント" フィールドが追加されました。

    • "昇格したトークン" フィールドが追加されました。

    • "リンクされたログオン ID" フィールドが追加されました。

    • "ネットワークアカウント名" フィールドが追加されました。

    • "ネットワークアカウントドメイン" フィールドが追加されました。

フィールドの説明:

件名:

  • セキュリティ ID \ [TYPE = SID ]: 成功したログオンに関する情報を報告したアカウントの SID、またはそれを呼び出します。 イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソースデータが表示されます。

注:  セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメインコントローラーなどの機関によって発行され、セキュリティデータベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンにそれを配置します。 システムは、アクセストークン内の SID を使って、Windows セキュリティとの以降のすべての操作でユーザーを識別します。 SID がユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。 Sid の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名\ [Type = UnicodeString ]: 成功したログオンに関する情報を報告したアカウントの名前。

  • アカウントドメイン\ [Type = UnicodeString ]: サブジェクトのドメインまたはコンピューター名。 次のような形式があります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカル

    • 大文字の完全なドメイン名: CONTOSO。地元の

    • ローカルサービスや ANONYMOUS LOGON などの既知のセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属しているコンピューターまたはデバイスの名前が格納されます。たとえば、"Win81" です。

  • ログオン id \ [Type = HexInt64 ]: このイベントと、同じログオン id を含む可能性のある最近のイベント ("4672: 新しいログオンに割り当てられている特殊な特権" など) と関連付けるために役立つ16進数の値。

ログオン情報\ [バージョン 2 ] * *: * *

  • ログオンの種類\ [バージョン0、1、2 ] \ [Type = UInt32 ]: 実行されたログオンの種類。 以下の表に、このフィールドに指定できる値のリストを示します。

ログオンの種類と説明

ログオンの種類 ログオンタイトル 説明
両面 双方 ユーザーがこのコンピューターにログオンしました。
- ネットワーク ユーザーまたはコンピューターがネットワークからこのコンピューターにログオンした。
4d バッチ バッチログオンの種類は、ユーザーが直接操作しなくても、プロセスがユーザーの代わりに実行される可能性があるバッチサーバーで使われます。
サービス サービスがサービスコントロールマネージャーによって開始されました。
ロックを解除する このワークステーションのロックが解除されました。
ネットワーククリアテキスト ユーザーがネットワークからこのコンピューターにログオンしました。 ユーザーのパスワードは、ハッシュされていない形式で認証パッケージに渡されました。 組み込み認証によって、ネットワーク経由で送信される前にすべてのハッシュ資格情報がパッケージ化されます。 資格情報は、プレーンテキスト (平文とも呼ばれます) でネットワークをスキャンしません。
ファイブ 新規の資格情報 発信者が現在のトークンを複製し、送信接続の新しい資格情報を指定しました。 新しいログオンセッションのローカル id は同じですが、他のネットワーク接続の資格情報が使用されます。
常用 RemoteInteractive ユーザーがターミナルサービスまたはリモートデスクトップを使ってリモートでこのコンピューターにログオンしました。
折り CachedInteractive ユーザーは、コンピューターにローカルに保存されているネットワーク資格情報を使用して、このコンピューターにログオンしました。 ドメインコントローラーに連絡して資格情報を確認できませんでした。
  • 制限された管理モード\ [バージョン 2 ] \ [Type = UnicodeString ]: remoteinteractiveログオンの種類のセッションのみが設定されています。 これは、指定された資格情報が制限された管理者モードを使って渡されたかどうかを示す Yes/No フラグです。 制限付き管理モードが Win 8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。

    リファレンス: http://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx

    リモート対話型ログオンではない場合は、"-" 文字列になります。

  • 仮想アカウント\ [バージョン 2 ] \ [Type = UnicodeString ]: "はい" または "いいえ" のフラグで、アカウントが仮想アカウントであるかどうかを示します (例: "マネージサービスアカウント")。これは、Windows 7 と windows Server 2008 R2 で導入されたものであることを示します。"NetworkService" を使用する代わりに、指定したサービスが使用するアカウントを特定する機能を提供します。

  • 昇格可能なトークン \ [バージョン 2 ] \ [Type = UnicodeString ]: "Yes" または "No" フラグ。 "Yes" の場合は、このイベントが表すセッションは昇格され、管理者権限があります。

偽装レベル\ [バージョン1、2 ] \ [Type = UnicodeString ]: 次の4つの値のいずれかを指定できます。

  • SecurityAnonymous (空の文字列として表示): サーバープロセスは、クライアントに関する識別情報を取得できません。クライアントを偽装することはできません。 この値は、値なしで定義されます。したがって、ANSI C の規則によって既定値は0になります。

  • SecurityIdentification ("識別" として表示): サーバープロセスは、セキュリティ識別子や権限など、クライアントに関する情報を取得しますが、クライアントを偽装することはできません。 これは、テーブルとビューをエクスポートするデータベース製品など、独自のオブジェクトをエクスポートするサーバーの場合に便利です。 取得したクライアントのセキュリティ情報を使用すると、サーバーは、クライアントのセキュリティコンテキストを使用している他のサービスを使用できない状態で、アクセス許可の決定を行うことができます。

  • SecurityImpersonation ("偽装" として表示): サーバープロセスは、ローカルシステム上のクライアントのセキュリティコンテキストを偽装できます。 サーバーがリモートシステムでクライアントを偽装することはできません。 これは最も一般的な型です。

  • SecurityDelegation ("委任" として表示): サーバープロセスは、リモートシステム上のクライアントのセキュリティコンテキストを偽装することができます。

新しいログオン:

  • セキュリティ ID \ [TYPE = SID ]: ログオンが実行されたアカウントの SID。 イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソースデータが表示されます。

注:  セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメインコントローラーなどの機関によって発行され、セキュリティデータベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンにそれを配置します。 システムは、アクセストークン内の SID を使って、Windows セキュリティとの以降のすべての操作でユーザーを識別します。 SID がユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。 Sid の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名\ [Type = UnicodeString ]: ログオンが実行されたアカウントの名前。

  • アカウントドメイン\ [Type = UnicodeString ]: サブジェクトのドメインまたはコンピューター名。 次のような形式があります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカル

    • 大文字の完全なドメイン名: CONTOSO。地元の

    • ローカルサービスや ANONYMOUS LOGON などの既知のセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属しているコンピューターまたはデバイスの名前が格納されます。たとえば、"Win81" です。

  • ログオン id \ [Type = HexInt64 ]: このイベントと、同じログオン id を含む可能性のある最近のイベント ("4672: 新しいログオンに割り当てられている特殊な特権" など) と関連付けるために役立つ16進数の値。

  • リンクされたログオン ID \ [バージョン 2 ] \ [Type = HexInt64 ]: ペアリングされたログオンセッションの16進数の値。 このログオンセッションに関連付けられているログオンセッションがない場合は、値は "0x0" になります。

  • ネットワークアカウント名\ [バージョン 2 ] \ [Type = UnicodeString ]: 送信 (ネットワーク) 接続に使用されるユーザー名。 Newcredentialsログオンの種類に対してのみ有効です。

    まだログイン**** していない場合は、"-" 文字列になります。

  • ネットワークアカウントドメイン\ [バージョン 2 ] \ [Type = UnicodeString ]: 送信 (ネットワーク) 接続に使用されるユーザーのドメイン。 Newcredentialsログオンの種類に対してのみ有効です。

    まだログイン**** していない場合は、"-" 文字列になります。

  • ログオン guid \ [TYPE = GUID ]: 同じログオン guid、"4769(S, F) を含むことができる別のイベントとこのイベントを関連付けるために使用できる guid。ドメインコントローラーで Kerberos サービスチケットが要求されました。

    また、4624イベントと、同じログオン GUID4648を含むその他のいくつかのイベント (同じコンピューター上の複数) の相互関係に使用することもできます。これには、明示的な資格4964情報を使用してログオンしたことがあります。新しいログオンに割り当てられています。 "

    このパラメーターはイベント内でキャプチャされず、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されることがあります。

* 注 *GUIDは、"グローバル一意識別子" の略語です。 この値は、リソース、アクティビティ、またはインスタンスを識別するために使用される128ビットの整数です。

プロセス情報:

  • プロセス ID \ [Type = Pointer ]: ログオンを試みたプロセスの16進数のプロセス id。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティングシステムによって使用される番号です。 特定のプロセスの PID を表示するには、たとえば、タスクマネージャー ([詳細] タブの [PID] 列) を使用します。

    Task manager illustration

    16進数を10進数に変換すると、タスクマネージャーの値と比較できます。

    また、このプロセス ID を他のイベントのプロセス ID と関連付けることもできます。たとえば、"4688: 新しいプロセスが作成されました" というプロセス情報は、新しいプロセス idです。

  • プロセス名\ [Type = UnicodeString ]: 完全なパスと、プロセスの実行可能ファイルの名前。

ネットワーク情報:

  • ワークステーション名\ [Type = UnicodeString ]: ログオン試行が実行されたコンピューターの名前。

  • ソースネットワークアドレス\ [Type = UnicodeString ]: ログオンを実行したコンピューターの IP アドレス。

    • IPv6 アドレスまたは:: ffff: クライアントの IPv4 アドレス。

    • :: 1 または127.0.0.1 は localhost を意味します。

  • ソースポート\ [Type = UnicodeString ]: リモートコンピューターからのログオン試行に使用されたソースポート。

    • 0対話型ログオンに使用します。

認証情報の詳細:

  • ログオンプロセス\ [Type = UnicodeString ]: ログオンに使用された信頼されたログオンプロセスの名前。 詳細については、「イベント "4611: 信頼されたログオンプロセスがローカルセキュリティ機関に登録されています" の説明を参照してください。

  • 認証パッケージ\ [Type = UnicodeString ]: ログオン認証プロセスに使用された認証パッケージの名前。 LSA 起動時に読み込まれる既定のパッケージは、"HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig" レジストリキーにあります。 その他のパッケージは、実行時に読み込むことができます。 新しいパッケージを4610読み込むときに、ローカルセキュリティ機関 (通常は NTLM) または "4622: ローカルセキュリティ機関によってセキュリティパッケージが読み込まれています" (通常は Kerberos) イベントは、次のようになります。新しいパッケージがパッケージ名と共に読み込まれたことを示すためにログに記録されます。 最も一般的な認証パッケージは次のとおりです。

    • Ntlm – Ntlm ファミリ認証

    • Kerberos – kerberos 認証。

    • Negotiate – negotiate セキュリティパッケージは、Kerberos プロトコルと NTLM プロトコルの間で選択します。 Negotiate は、認証に関係するシステムのいずれかで使うことができないか、または呼び出し元のアプリケーションが Kerberos を使用するための十分な情報を提供していない限り、Kerberos を選択します。

  • Transited \ [Type = UnicodeString ] \ [Kerberos-のみ ]: 送信されたサービスの一覧。 送信されたサービスには、S4U (ユーザー向けサービスの) ログオンプロセスの結果としてログオンした場合に設定されます。 S4U は、アプリケーションサービスがユーザーの代わりに Kerberos サービスチケットを取得できるようにするための Microsoft の拡張機能です。ユーザーの代わりに内部リソースにアクセスするために、フロントエンド web サイトで行うのが最も一般的です。 S4U の詳細については、 https://msdn.microsoft.com/library/cc246072.aspx

  • パッケージ名 (ntlm のみ) \ [Type = UnicodeString ]: ログオン時に使用された LAN Manager サブパッケージ (NTLM-ファミリプロトコル名) の名前。 設定可能な値は、次のとおりです。

    • "NTLM V1"

    • "NTLM V2"

    • LM

      "Authentication Package" = "NTLM" の場合にのみ設定されます。

  • キーの長さ\ [Type = UInt32 ]: NTLM セッションのセキュリティキーの長さ。 通常は、128ビット長または56ビット長が含まれます。 このパラメーターは、Kerberos プロトコルには適用されないため、"Authentication Package" = "kerberos" の場合に常に0になります。 また、 Negotiate認証パッケージを使用して Kerberos がネゴシエートされた場合は、このフィールドにも "0" という値が表示されます。

セキュリティの監視に関する推奨事項

4624の場合: アカウントが正常にログオンしました。

必要な監視の種類 推奨事項
高価値アカウント: 各操作を監視する必要がある、高い値のドメインまたはローカルアカウントを持っている可能性があります。
高価値アカウントの例としては、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービスアカウント、ドメインコントローラーアカウントなどがあります。
このイベントを、高い値のアカウントまたはアカウントに対応する "新しい logon¥セキュリティ ID" で監視します。
異常または悪質な操作: 異常を検出したり、悪意のある操作を監視したりするための特定の要件がある場合があります。 たとえば、稼働時間以外のアカウントの使用を監視する必要がある場合があります。 異常または悪質な操作を監視する場合は、 "新しい Logon\ セキュリティ ID" (その他の情報を含む) を使って、特定のアカウントがどのように使用されているかを監視します。
非アクティブなアカウント: 非アクティブ、無効、またはゲストアカウント、または使わないその他のアカウントがある可能性があります。 このイベントを、決して使用しないアカウントに対応する "新しい logon¥セキュリティ ID" で監視します。
アカウントのホワイトリスト: 特定のイベントに対応するアクションを実行できるのは、特定の id を持つアカウントである場合があります。 このイベントが "ホワイトリストのみ" アクションに対応する場合は、ホワイトリスト以外のアカウントに対して "新しい Logon\ セキュリティ ID" を確認します。
さまざまな種類のアカウント: 特定の処理が特定のアカウントの種類 (たとえば、local アカウント、ドメインアカウント、コンピューターアカウント、従業員アカウントなど) でのみ実行されるようにすることができます。 このイベントが特定のアカウントの種類について監視するアクションに対応する場合は、 "新しい Logon\ セキュリティ ID" を確認して、アカウントの種類が予期されているものであるかどうかを確認します。
外部アカウント: 別のドメインからのアカウント、または特定の操作を実行することを許可されていない "外部" アカウント (特定の特定のイベントで表される) を監視している可能性があります。 別のドメインまたは "外部" アカウントからのアカウントに対応する "subject¥ Account ドメイン" のイベントを監視します。
制限付き使用のコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常操作を実行しない特定のコンピューター、コンピューター、またはデバイスがある場合があります。 対象のコンピューター (またはその他のターゲットデバイス) を監視して、懸念している "新しい LOGON\ セキュリティ ID" によって実行された操作を確認します。
アカウントの名前付け規則: 組織によっては、アカウント名の特定の命名規則がある場合があります。 名前付け規則に準拠していない名前の場合は、"件名 \ アカウント名" を監視します。
  • このイベントは通常、システムアカウントによってトリガーされるため、 "subject¥ SECURITY ID" がシステムにない場合は必ず報告することをお勧めします。

  • 特定のアカウントによるログオンに "制限された管理者" モードを使用する必要がある場合は、このイベントを使用して、"Logon Type" = 10 "と"制限付き管理者モード"に関連した"新しい logon\ ID"によるログオンを監視します。 "制限された管理者モード" (これらのアカウントの場合は "No") では、アラートをトリガーします。

  • 管理者特権を持つアカウントのすべてのログオンイベントを監視する必要がある場合は、"昇格されたトークン" = "Yes" でこのイベントを監視します。

  • 管理サービスアカウントとグループ管理サービスアカウントのすべてのログオンイベントを監視する必要がある場合は、"仮想アカウント" = "Yes" のイベントを監視します。

  • ログオンの種類とそれを使用するアカウントの不一致を監視するには (たとえば、ドメイン管理グループのメンバーがログオンの種類 4-バッチまたは5サービスを使用している場合)、このイベントのログオンの種類を監視します。

  • 次のような方法で組織でのログオンが制限されている場合は、このイベントを使って、それに応じて監視することができます。

    • 特定のコンピューターからのログオンにユーザーアカウント "新しい Logon\ セキュリティ ID" を使用しない場合 :

    • 新しい Logon\ セキュリティ ID資格情報をワークステーション名またはソースネットワークアドレスから使用しない場合。

    • サービスアカウントなどの特定のアカウントが、内部の IP アドレスの一覧 (または他の IP アドレスの一覧) からのみ使用されるようにします。 この場合、ネットワーク情報 \ ソースネットワークアドレスを監視し、ネットワークアドレスと IP アドレスのリストを比較することができます。

    • 特定のバージョンの NTLM が組織で常に使用されている場合。 この場合、このイベントを使ってパッケージ名 (ntlm のみ) を監視することができます。たとえば、パッケージ名 (ntlm のみ)NTLM V2と等しくないイベントを検索します。

    • NTLM が組織で使用されていない場合、または特定のアカウント (新しい logon¥セキュリティ ID) で使用しない場合。 この場合は、認証パッケージが NTLM であるすべてのイベントを監視します。

    • 認証パッケージが NTLM の場合。 この場合、Windows 2000 で開始されるすべての Windows オペレーティングシステムが128ビットキーの長さをサポートしているため、キーの長さが128と等しくないかどうかを監視します。

  • 悪意のあるソフトウェア、またはログオン操作を要求することを許可されていないソフトウェアを監視する場合は、プロセス名に対してこのイベントを監視します。

  • [信頼されたログオンプロセス] の一覧がある場合は、一覧にないログオンプロセスを監視します。