4624(S): アカウントが正常にログオンしました。

Event 4624 illustration

サブカテゴリ:  ログオンの監査

イベントの説明:

このイベントは、ログオン セッションが作成されると (移動先のコンピューターで) 生成されます。 セッションが作成された、アクセスされたコンピューター上に生成されます。

注意

推奨事項については、「このイベントの セキュリティ監視の推奨事項」 を参照してください。


イベント XML:

<?xml version="1.0"?>
<Event
    xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}"/>
        <EventID>4624</EventID>
        <Version>2</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2015-11-12T00:24:35.079785200Z"/>
        <EventRecordID>211</EventRecordID>
        <Correlation ActivityID="{00D66690-1CDF-0000-AC66-D600DF1CD101}"/>
        <Execution ProcessID="716" ThreadID="760"/>
        <Channel>Security</Channel>
        <Computer>WIN-GG82ULGC9GO</Computer>
        <Security/>
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data>
        <Data Name="SubjectDomainName">WORKGROUP</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
        <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-500</Data>
        <Data Name="TargetUserName">Administrator</Data>
        <Data Name="TargetDomainName">WIN-GG82ULGC9GO</Data>
        <Data Name="TargetLogonId">0x8dcdc</Data>
        <Data Name="LogonType">2</Data>
        <Data Name="LogonProcessName">User32</Data>
        <Data Name="AuthenticationPackageName">Negotiate</Data>
        <Data Name="WorkstationName">WIN-GG82ULGC9GO</Data>
        <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x44c</Data>
        <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data>
        <Data Name="IpAddress">127.0.0.1</Data>
        <Data Name="IpPort">0</Data>
        <Data Name="ImpersonationLevel">%%1833</Data>
        <Data Name="RestrictedAdminMode">-</Data>
        <Data Name="TargetOutboundUserName">-</Data>
        <Data Name="TargetOutboundDomainName">-</Data>
        <Data Name="VirtualAccount">%%1843</Data>
        <Data Name="TargetLinkedLogonId">0x0</Data>
        <Data Name="ElevatedToken">%%1842</Data>
    </EventData>
</Event>

必須サーバーロール: ありません。

最小 OS バージョン: Windows Server 2008、Windows Vista。

イベント バージョン:

  • 0 - Windows Server 2008、Windows Vista。

  • 1 - Windows Server 2012、Windows 8。

    • 「偽装レベル」フィールドを追加しました。
  • 2 – Windows 10。

    • 「ログオン情報:」セクションを追加しました。

    • [ログオンの種類 ] が [ログオン情報:] セクションに移動しました。

    • [制限付き管理モード] フィールドを追加しました。

    • [仮想アカウント] フィールドを追加しました。

    • "昇格トークン" フィールドを追加しました。

    • [リンクされたログオン ID] フィールドを追加しました。

    • [ネットワーク アカウント名] フィールドを追加しました。

    • [ネットワーク アカウント ドメイン] フィールドを追加しました。

フィールドの説明:

件名:

  • セキュリティ ID [Type = SID]: ログオン の成功に関する情報を報告または呼び出したアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    注意

    セキュリティ 識別子 (SID) は 、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: 正常 なログオンに関する情報を報告したアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が含まれます(例: "Win81")。

  • ログオン ID [Type = HexInt64]: このイベントと、同じログオン ID を含む可能性のある最近のイベント (例:"4672(S): 新しいログオンに割り当てられた特別な特権" を関連付けるのに役立つ 16 進値。

ログオン情報 [バージョン 2]:

  • ログオンの 種類 [バージョン 0, 1, 2] [Type = UInt32]: 実行されたログオンの種類。 次の表に、このフィールドで使用できる値の一覧を示します。

ログオンの種類と説明

ログオンの種類 ログオン タイトル 説明
0 System システムの起動時など、System アカウントでのみ使用されます。
2 Interactive このコンピューターにログオンしたユーザー。
3 Network ネットワークからこのコンピューターにログオンしているユーザーまたはコンピューター。
4 Batch バッチ ログオンの種類はバッチ サーバーによって使用され、プロセスはユーザーの代わりに直接介入せずに実行される可能性があります。
5 Service サービスは、サービス コントロール マネージャーによって開始されました。
7 Unlock このワークステーションのロックが解除されました。
8 NetworkCleartext ネットワークからこのコンピューターにログオンしたユーザー。 ユーザーのパスワードは、そのセキュリティ保護されていない形式で認証パッケージに渡されました。 組み込みの認証では、ネットワークを通して送信する前に、すべてのハッシュ資格情報がパッケージ化されます。 資格情報は、プレーン テキスト (cleartext とも呼ばれます) でネットワークを通過しない。
9 NewCredentials 発信者が現在のトークンを複製し、送信接続用の新しい資格情報を指定しました。 新しいログオン セッションのローカル ID は同じですが、他のネットワーク接続には異なる資格情報を使用します。
10 RemoteInteractive ターミナル サービスまたはリモート デスクトップを使用してリモートでこのコンピューターにログオンしたユーザー。
11 CachedInteractive コンピューターにローカルに保存されたネットワーク資格情報を使用して、このコンピューターにログオンしたユーザー。 資格情報を確認するためにドメイン コントローラーに問い合わせが行ってない。
12 CachedRemoteInteractive RemoteInteractive と同じです。 これは、内部監査に使用されます。
13 CachedUnlock ワークステーション ログオン。
  • 制限付き管理モード [バージョン 2] [Type = UnicodeString]: RemoteInteractive ログオンの種類のセッションにのみ設定されます。 これは、指定された資格情報が制限付き管理モードを使用して渡されたかどうかを示す Yes/No フラグです。 制限付き管理モードは Win8.1/2012R2 で追加されましたが、このフラグは Win10 のイベントに追加されました。

    リファレンス: https://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx .

    RemoteInteractive ログオンではない場合、これは "-" 文字列になります。

  • 仮想アカウント [バージョン 2] [Type = UnicodeString]: "Yes" または "No" フラグを指定します。これは、アカウントが仮想アカウント (例:"ManagedService Account") かどうかを示します。これは、Windows 7 および Windows Server 2008 R2 で導入され、"NetworkService" を使用するのではなく、特定のサービスが使用するアカウントを識別する機能を提供します。

  • 昇格トークン [バージョン 2] [Type = UnicodeString]: "Yes" または "No" フラグ。 "はい" の場合、このイベントが表すセッションは昇格され、管理者特権を持っています。

偽装レベル [バージョン 1, 2] [Type = UnicodeString]: には、次の 4 つの値のいずれかを指定できます。

  • SecurityAnonymous (空の文字列として 表示): サーバー プロセスはクライアントに関する識別情報を取得できません。また、クライアントを偽装することはできません。 指定された値を使用して定義され、ANSI C ルールでは、既定値は 0 です。

  • SecurityIdentification ("ID" として表示): サーバー プロセスは、セキュリティ識別子や特権などのクライアントに関する情報を取得できますが、クライアントを偽装することはできません。 これは、テーブルとビューをエクスポートするデータベース製品など、独自のオブジェクトをエクスポートするサーバーに役立ちます。 取得したクライアント セキュリティ情報を使用して、サーバーは、クライアントのセキュリティ コンテキストを使用している他のサービスを使用することなく、アクセス検証の決定を行います。

  • SecurityImpersonation ("偽装"として表示): サーバー プロセスは、ローカル システム上でクライアントのセキュリティ コンテキストを偽装できます。 サーバーは、リモート システム上でクライアントを偽装できません。 これは最も一般的な型です。

  • SecurityDelegation ("委任"として表示): サーバー プロセスは、リモート システム上でクライアントのセキュリティ コンテキストを偽装できます。

新しいログオン:

  • セキュリティ ID [Type = SID]: ログオンが実行されたアカウントの SID。 イベント ビューアーが自動的に SID の解決を試み、アカウント名を表示します。 SID を解決できない場合、イベントにソース データが表示されます。

    注意

    セキュリティ 識別子 (SID) は 、トラスティ (セキュリティ プリンシパル) を識別するために使用される可変長の一意の値です。 各アカウントには、Active Directory ドメイン コントローラーなどの機関によって発行され、セキュリティ データベースに格納されている、固有の SID があります。 ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセス トークンにそれを配置します。 システムはアクセス トークンの SID を使用して、その後の Windows セキュリティとの対話操作でユーザーを識別します。 ユーザーまたはグループ固有の識別子として SID が使用されている場合は、もう一度使用して別のユーザーやグループを識別することはできません。 SID の詳細については、「セキュリティ識別子」を参照してください。

  • アカウント名 [Type = UnicodeString]: ログオンが実行されたアカウントの名前。

  • アカウント ドメイン [Type = UnicodeString]: サブジェクトのドメインまたはコンピューター名。 形式はさまざまで、次のようなものがあります。

    • ドメイン NETBIOS 名の例: CONTOSO

    • 小文字の完全なドメイン名: contoso.local

    • 大文字の完全なドメイン名: CONTOSO.LOCAL

    • LOCAL SERVICE や ANONYMOUS LOGON などのよく知られたセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属するコンピューターまたはデバイスの名前が含まれます(例: "Win81")。

  • ログオン ID [Type = HexInt64]: このイベントと、同じログオン ID を含む可能性のある最近のイベント (例:"4672(S): 新しいログオンに割り当てられた特別な特権" を関連付けるのに役立つ 16 進値。

  • リンクされたログオン ID [バージョン 2] [Type = HexInt64]: ペアリングされたログオン セッションの 16 進値。 このログオン セッションに関連付けられている他のログオン セッションがない場合、値は "0x0" です

  • ネットワーク アカウント名 [バージョン 2] [Type = UnicodeString]: 送信 (ネットワーク) 接続に使用されるユーザー名。 NewCredentials ログオンの種類にのみ有効です。

    NewCredentials ログオンではない場合、これは "-" 文字列になります。

  • ネットワーク アカウント ドメイン [バージョン 2] [Type = UnicodeString]: 送信 (ネットワーク) 接続に使用されるユーザーのドメイン。 NewCredentials ログオンの種類にのみ有効です。

    NewCredentials ログオンではない場合、これは "-" 文字列になります。

  • ログオン GUID [Type = GUID]: このイベントを、同じログオンGUID"4769(S, F): Kerberos サービス チケットがドメイン コントローラーで要求されたイベントを含む別のイベントと関連付けるのに役立ちます。

    また、4624 イベントと、同じログオンGUID、"4648(S): 明示的な資格情報を使用してログオンが試行された" と "4964(S): 特別なグループが新しいログオンに割り当てられている" を含む他のいくつかのイベント (同じコンピューター上) との相関関係にも使用できます。

    このパラメーターはイベントでキャプチャされない可能性があります。その場合は "" と表示 {00000000-0000-0000-0000-000000000000} されます。

    注意

    GUID は「グローバル一意識別子」の頭字語です。 リソース、アクティビティ、またはインスタンスを識別するために使用される 128 ビットの整数番号です。

プロセス情報:

  • プロセス ID [Type = Pointer]: ログオンを試みたプロセスの 16 進プロセス ID。 プロセス ID (PID) は、アクティブなプロセスを一意に識別するためにオペレーティング システムで使用される番号です。 特定のプロセスの PID を表示するには、たとえば、次のようにタスク マネージャー ([詳細] タブの PID 列) を使用します。

    Task manager illustration

    16 進数の値を 10 進数に変換することで、タスク マネージャーの値と比較することができます。

    このプロセス ID を、"4688: 新しいプロセスが作成されました" などの他のイベントのプロセス ID と関連付けることもできます。プロセス情報\新しいプロセス ID

  • プロセス名 [Type = UnicodeString]: フル パスとプロセスの実行可能ファイルの名前。

ネットワーク情報:

  • ワークステーション名 [Type = UnicodeString]: ログオン試行が実行されたコンピューター名。

  • 送信元ネットワーク アドレス [Type = UnicodeString]: ログオン試行が実行されたコンピューターの IP アドレス。

    • IPv6 アドレスまたはクライアントの ::ffff:IPv4 アドレス。

    • ::1 または 127.0.0.1 は localhost を意味します。

  • ソース ポート [Type = UnicodeString]: リモート コンピューターからのログオン試行に使用されたソース ポート。

    • 対話型ログオンの場合は 0。

詳細な認証情報:

  • ログオン プロセス [Type = UnicodeString]: ログオンに使用された信頼できるログオン プロセスの名前。 詳細については、「event "4611: 信頼できるログオン プロセスがローカル セキュリティ機関に登録されています」の説明を参照してください。

  • 認証パッケージ [Type = UnicodeString]: ログオン認証プロセスに使用された認証パッケージの名前。 LSA の起動時に読み込まれる既定のパッケージは、"HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig" レジストリ キーにあります。 他のパッケージは実行時に読み込み可能です。 新しいパッケージが読み込まれると、"4610:認証パッケージがローカル セキュリティ機関によって読み込まれています"(通常は NTLM の場合) または"4622:セキュリティ パッケージがローカル セキュリティ機関によって読み込まれています" (通常は Kerberos の場合) イベントがログに記録され、パッケージ名と共に新しいパッケージが読み込まれたかどうかを示します。 最も一般的な認証パッケージは次のとおりです。

    • NTLM – NTLM ファミリ認証

    • Kerberos – Kerberos 認証。

    • ゴシエート – ネゴシエート セキュリティ パッケージは、Kerberos プロトコルと NTLM プロトコルの間で選択します。 ネゴシエートは、認証に関係するシステムの 1 つで使用できない場合や、呼び出し元のアプリケーションが Kerberos を使用するのに十分な情報を提供していない場合は、Kerberos を選択します。

  • [Transited Services] [Type = UnicodeString] [Kerberos-only]: 送信されたサービスの一覧。 転送されたサービスは、ログオンが S4U (Service For User) ログオン プロセスの結果である場合に設定されます。 S4U は、アプリケーション サービスがユーザーに代わって Kerberos サービス チケットを取得できる Kerberos プロトコルの Microsoft 拡張機能です。最も一般的には、フロントエンド Web サイトがユーザーの代わりに内部リソースにアクセスするために行います。 S4U の詳細については、「 https://msdn.microsoft.com/library/cc246072.aspx

  • パッケージ名 (NTLM のみ) [Type = UnicodeString]: ログオン時に使用された LAN Manager サブパッケージ(NTLM-family プロトコル名) の名前。 設定可能な値は、次のとおりです。

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      "認証パッケージ" ="NTLM" の場合にのみ設定されます

  • キーの長 さ [Type = UInt32]: NTLM セッション セキュリティ キーの長 さ。 通常、長さは 128 ビットまたは 56 ビットです。 このパラメーターは、Kerberos プロトコルには適用されないので、"認証パッケージ" = "Kerberos" の場合は常に 0 です。 Kerberos がネゴシエート認証パッケージを使用してネゴシエートされた場合、このフィールドには "0" の値 も設定されます。

セキュリティ監視の推奨事項

4624(S): アカウントが正常にログオンしました。

必要な監視の種類 推奨
高い価値を持つアカウント: 高い価値を持つドメインまたはローカル アカウントを使用している場合、各アクションを監視する必要があります。
高い価値を持つアカウントには、データベース管理者、組み込みのローカル管理者アカウント、ドメイン管理者、サービス アカウント、ドメイン コントローラー アカウントなどがあります。
価値の高いアカウント またはアカウントに対応する "New Logon\Security ID" を使用して、このイベントを監視します。
異常または悪意のあるアクション: 異常を検出したり、悪意のある可能性を持つアクションを監視したりするための特定の要件を持つ場合があります。 たとえば、勤務時間外のアカウント使用に監視が必要になる場合があります。 異常や悪意のあるアクションを監視する場合は 、"New Logon\Security ID" (他の情報と一緒に) を使用して、特定のアカウントの使用方法や使用時間を監視します。
非アクティブなアカウント: アクティブでないアカウント、無効なアカウント、ゲスト アカウント、または絶対に使用してはいけないアカウントを持つ場合があります。 使用しないアカウント に対応する "New Logon\Security ID" を使用して、このイベントを監視します。
アカウント許可一覧: 特定のイベントに対応するアクションの実行が許可されているアカウントの特定の許可リストがある場合があります。 このイベントが "allowlist-only" アクションに対応する場合は、許可リストの外部にあるアカウントの "New Logon\Security ID" を確認します。
異なる種類のアカウント: 特定のアクションが特定のアカウントの種類 (ローカルまたはドメインのアカウント、コンピューターまたはユーザー アカウント、仕入先や従業員のアカウントなど) にのみ実行されていることを確認することができます。 このイベントが特定のアカウントの種類を監視するアクションに対応する場合は 、"New Logon\Security ID" を確認して、アカウントの種類が予想通りかどうかを確認します。
外部アカウント: 別のドメインのアカウント、または特定のアクション (ある特定のイベントによって表される) の実行を許可されていない “外部” アカウントを監視している可能性があります。 このイベントを監視して、別のドメインまたは "外部" アカウントのアカウントに対応する "Subject\Account Domain" を監視します。
制限されたコンピューターまたはデバイス: 特定のユーザー (アカウント) が通常のアクションを実行してはいけない特定のコンピューター、機器、またはデバイスを所有している場合があります。 対象の コンピューター ( または他のターゲット デバイス) を監視し、懸念される "New Logon\Security ID" によって実行されるアクションを確認します。
アカウントの命名規則: 組織によっては、アカウント名に固有の命名規則がある場合があります。 名前付け規則に準拠しない名前については、「Subject\Account Name」 を監視します。
  • このイベントは通常、SYSTEM アカウントによってトリガーされます 。"Subject\Security ID" が SYSTEM ではない場合は必ず報告することをお勧めします。

  • "制限付管理者" モードを特定のアカウントのログオンに使用する必要がある場合は、このイベントを使用して、ログオンの種類 "=10" と "制限付き管理モード "="Yes" に関連して、"NewLogon\Security ID" によるログオンを監視します。******** これらのアカウントの "制限付き管理モード"="No" の場合は、アラートをトリガーします。

  • 管理者特権を持つアカウントのすべてのログオン イベントを監視する必要がある場合は、"昇格**** トークン "="Yes" でこのイベントを監視します。

  • 管理サービス アカウントおよびグループ管理サービス アカウントのすべてのログオン イベントを監視する必要がある場合は、"VirtualAccount"="Yes" を使用してイベントを監視します。

  • ログオンの種類とそれを使用するアカウントの不一致を監視するには (たとえば、ログオンの種類 4-Batch または 5-Service がドメイン管理グループのメンバーによって使用**** される場合)、このイベントでログオンの種類を監視します。 ****

  • 組織が次の方法でログオンを制限している場合は、このイベントを使用して、次の方法で監視できます。

    • ユーザー アカウント "New Logon\Security ID" を使用して特定のコンピューターからログオンしない場合 :

    • しい Logon\Security ID 資格情報をワークステーション名**** または送信元ネットワーク アドレスから使用しない場合

    • サービス アカウントなどの特定のアカウントを使用する場合は、内部 IP アドレス一覧 (または他の IP アドレスの一覧) からのみ使用してください。 この場合、ネットワーク情報 \ 送信元ネットワーク アドレスを監視し、ネットワーク アドレスと IP アドレスの一覧を比較できます。

    • 特定のバージョンの NTLM が常に組織で使用されている場合。 この場合、このイベントを使用して、たとえば、パッケージ名 (NTLMのみ) を監視して、パッケージ名 (NTLM のみ)NTLM V2と等しくないイベントを検索できます。

    • NTLM が組織で使用されていない場合、または特定のアカウントで使用しない場合 (新しい Logon\Security ID)。 この場合、認証パッケージが NTLM であるすべての イベント を監視します。

    • 認証パッケージ NTLM の場合。 この場合、Windows 2000 で始まるすべての Windows オペレーティング システムが 128 ビットのキーの長さをサポートするために、キーの長さが 128 に等しくないので監視します。 ****

  • 悪意のある可能性のあるソフトウェア、またはログオンアクションを要求する権限が与えされていないソフトウェアを監視する場合は、このイベントを [プロセス名] で 監視します

  • 信頼できるログオン プロセスの一覧がある場合は、一覧からではない ログオン プロセスを監視します。