4964: 新しいログオンに特別なグループが割り当てられています。4964(S): Special groups have been assigned to a new logon.

適用対象Applies to

  • Windows 10Windows 10
  • Windows Server 2016Windows Server 2016
Event 4964 illustration

サブカテゴリ: 特別なログオンを監査するSubcategory: Audit Special Logon

イベントの説明:Event Description:

このイベントは、定義済みの特殊グループのメンバーであるアカウントがログインしたときに発生します。This event occurs when an account that is a member of any defined Special Group logs in.

**** 注 推奨事項については、「このイベントのセキュリティ監視に関する推奨事項」を参照してください。Note  For recommendations, see Security Monitoring Recommendations for this event.


イベント XML:Event XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4964</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12548</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-11T02:25:16.236443300Z" /> 
 <EventRecordID>238923</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="504" ThreadID="5008" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0xd972e</Data> 
 <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data> 
 <Data Name="TargetUserSid">S-1-5-21-3457937927-2839227994-823803824-500</Data> 
 <Data Name="TargetUserName">ladmin</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetLogonId">0x139faf</Data> 
 <Data Name="TargetLogonGuid">{B03B6192-09AE-E77F-DD10-2DC430766040}</Data> 
 <Data Name="SidList">%{S-1-5-21-3457937927-2839227994-823803824-512}</Data> 
 </EventData>
 </Event>

必要なサーバーの役割:-.Required Server Roles: None.

OS の最小バージョン: Windows Server 2008、Windows Vista。Minimum OS Version: Windows Server 2008, Windows Vista.

イベントのバージョン: 0.Event Versions: 0.

注:  特別なグループは、windows Vista および windows Server 2008 の新機能です。Note  Special Groups is a new feature in Windows Vista and in Windows Server 2008. [特殊なグループ] 機能を使用すると、管理者は、特定のグループのメンバーがコンピューターにログオンしたときに、そのことを確認できます。The Special Groups feature lets the administrator find out when a member of a certain group logs on to the computer. [特殊グループ] 機能を使うと、管理者はレジストリのグループセキュリティ識別子 (Sid) の一覧を設定することができます。The Special Groups feature lets an administrator set a list of group security identifiers (SIDs) in the registry.

>特殊グループを追加するには、次の操作を実行します。> To add Special Groups perform the following actions:

>件.> 1. レジストリ エディターを開きます。Open Registry Editor.

>両面.> 2. 次のレジストリサブキーを見つけてクリックします。 HKEY \ _LOCAL \ _MACHINE \System\CurrentControlSet\Control\Lsa\AuditLocate and then click the following registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit

>-.> 3. [編集] メニューの [新規] をポイントし、[文字列値] をクリックします。On the Edit menu, point to New, and then click String Value.

>4d.> 4. 「特殊グループ」と入力して、enter キーを押します。Type SpecialGroups, and then press ENTER.

>個.> 5. [特殊グループ] を右クリックし、[変更] をクリックします。Right-click SpecialGroups, and then click Modify.

>=.> 6. [値の日付] ボックスにグループの Sid を入力し、[OK] をクリックします。In the Value date box, type the group SIDs, and then click OK.

>セミコロン文字 (;)SID リストの区切りに使用できます。> A semicolon character (;) can be used to delimit the SID list. たとえば、セミコロンを含む次の文字列を使用して、2つの Sid を区切ることができます。For example, you can use the following string that contains a semicolon to delimit two SIDs:

>S-1-5-32-544S-1-5-32-123-54-65> S-1-5-32-544;S-1-5-32-123-54-65

>詳細については、以下を参照してください。> For more information see: https://blogs.technet.com/b/askds/archive/2008/03/11/special-groups-auditing-via-group-policy-preferences.aspx

フィールドの説明:Field Descriptions:

件名:Subject:

  • セキュリティ ID \ [TYPE = SID ]: 新しいログオンアカウントのログオンを要求したアカウントの SID。Security ID [Type = SID]: SID of account that requested logon for New Logon account. イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。Event Viewer automatically tries to resolve SIDs and show the account name. SID を解決できない場合、イベントにソースデータが表示されます。If the SID cannot be resolved, you will see the source data in the event.

注:  セキュリティ識別子 (SID) は、トラスティ (セキュリティプリンシパル) を識別するために使用される可変長の一意の値です。Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). 各アカウントには、Active Directory ドメインコントローラーなどの機関によって発行され、セキュリティデータベースに格納されている、固有の SID があります。Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. ユーザーがログオンするたびに、システムはデータベースからそのユーザーの SID を取得し、そのユーザーのアクセストークンにそれを配置します。Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. システムは、アクセストークン内の SID を使って、Windows セキュリティとの以降のすべての操作でユーザーを識別します。The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. SID がユーザーまたはグループの一意の識別子として使用されている場合は、もう一度使用して別のユーザーまたはグループを識別することはできません。When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Sid の詳細については、「セキュリティ識別子」を参照してください。For more information about SIDs, see Security identifiers.

  • アカウント名\ [Type = UnicodeString ]: 新しいログオンアカウントのログオンを要求したアカウントの名前。Account Name [Type = UnicodeString]: the name of the account that requested logon for New Logon account.

  • アカウントドメイン\ [Type = UnicodeString ]: サブジェクトのドメインまたはコンピューター名。Account Domain [Type = UnicodeString]: subject’s domain or computer name. 次のような形式があります。Formats vary, and include the following:

    • ドメイン NETBIOS 名の例: CONTOSODomain NETBIOS name example: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカルLowercase full domain name: contoso.local

    • 大文字の完全なドメイン名: CONTOSO。地元のUppercase full domain name: CONTOSO.LOCAL

    • ローカルサービスや ANONYMOUS LOGON などの既知のセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属しているコンピューターまたはデバイスの名前が格納されます。たとえば、"Win81" です。For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

  • ログオン id \ [Type = HexInt64 ]: このイベントと、同じログオン id を含む可能性のある最近のイベント (たとえば4624、アカウントが正常にログオンしました) と関連付けるために役立つ16進数の値。Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

  • ログオン guid \ [TYPE = GUID ]: 同じログオン guid、"4769(S, F) を含むことができる別のイベントとこのイベントを関連付けるために使用できる guid。ドメインコントローラーで Kerberos サービスチケットが要求されました。Logon GUID [Type = GUID]: a GUID that can help you correlate this event with another event that can contain the same Logon GUID, “4769(S, F): A Kerberos service ticket was requested event on a domain controller.

    また、4964イベントと、同じログオン GUID4648を含むその他のいくつかのイベント (同じコンピューター上の複数) に対しても使用できます。これには、明示的な資格4624情報を使用してログオンを試みました。また、アカウントが正常にログオンしています。It also can be used for correlation between a 4964 event and several other events (on the same computer) that can contain the same Logon GUID, “4648(S): A logon was attempted using explicit credentials” and “4624(S): An account was successfully logged on.”

    このパラメーターはイベント内でキャプチャされず、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されることがあります。This parameter might not be captured in the event, and in that case appears as “{00000000-0000-0000-0000-000000000000}”.

**** 注 GUIDは、"グローバル一意識別子" の略語です。Note  GUID is an acronym for 'Globally Unique Identifier'. この値は、リソース、アクティビティ、またはインスタンスを識別するために使用される128ビットの整数です。It is a 128-bit integer number used to identify resources, activities or instances.

新しいログオン:New Logon:

  • セキュリティ ID \ [TYPE = SID ]: ログオンを実行したアカウントの SID。Security ID [Type = SID]: SID of account that performed the logon. イベントビューアーが自動的に Sid の解決を試み、アカウント名を表示します。Event Viewer automatically tries to resolve SIDs and show the account name. SID を解決できない場合、イベントにソースデータが表示されます。If the SID cannot be resolved, you will see the source data in the event.

  • アカウント名\ [Type = UnicodeString ]: ログオンを実行したアカウントの名前。Account Name [Type = UnicodeString]: the name of the account that performed the logon.

  • アカウントドメイン\ [Type = UnicodeString ]: サブジェクトのドメインまたはコンピューター名。Account Domain [Type = UnicodeString]: subject’s domain or computer name. 次のような形式があります。Formats vary, and include the following:

    • ドメイン NETBIOS 名の例: CONTOSODomain NETBIOS name example: CONTOSO

    • 小文字の完全なドメイン名: contoso. ローカルLowercase full domain name: contoso.local

    • 大文字の完全なドメイン名: CONTOSO。地元のUppercase full domain name: CONTOSO.LOCAL

    • ローカルサービスや ANONYMOUS LOGON などの既知のセキュリティプリンシパルの場合、このフィールドの値は "NT AUTHORITY" です。For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

    • ローカルユーザーアカウントの場合、このフィールドには、このアカウントが属しているコンピューターまたはデバイスの名前が格納されます。たとえば、"Win81" です。For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

  • ログオン id \ [Type = HexInt64 ]: このイベントと、同じログオン id を含む可能性のある最近のイベント (たとえば4624、アカウントが正常にログオンしました) と関連付けるために役立つ16進数の値。Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”

  • ログオン guid \ [TYPE = GUID ]: 同じログオン guid、"4769(S, F) を含むことができる別のイベントとこのイベントを関連付けるために使用できる guid。ドメインコントローラーで Kerberos サービスチケットが要求されました。Logon GUID [Type = GUID]: a GUID that can help you correlate this event with another event that can contain the same Logon GUID, “4769(S, F): A Kerberos service ticket was requested event on a domain controller.

    また、4964イベントと、同じログオン GUID4648を含むその他のいくつかのイベント (同じコンピューター上の複数) に対しても使用できます。これには、明示的な資格4624情報を使用してログオンを試みました。また、アカウントが正常にログオンしています。It also can be used for correlation between a 4964 event and several other events (on the same computer) that can contain the same Logon GUID, “4648(S): A logon was attempted using explicit credentials” and “4624(S): An account was successfully logged on.”

    このパラメーターはイベント内でキャプチャされず、その場合は "{00000000-0000-0000-0000-000000000000}" と表示されることがあります。This parameter might not be captured in the event, and in that case appears as “{00000000-0000-0000-0000-000000000000}”.

  • 特別なグループが \ [Type = UnicodeString ] として割り当てられています。特別なグループ sid の一覧。新しい LOGON\ セキュリティ IDは、メンバーになります。Special Groups Assigned [Type = UnicodeString]: the list of special group SIDs, which New Logon\Security ID is a member of.

セキュリティの監視に関する推奨事項Security Monitoring Recommendations

4964の場合: 特別なグループが新しいログオンに割り当てられています。For 4964(S): Special groups have been assigned to a new logon.

  • 一般的に、特殊グループの目的は、重要なグループ (ドメイン管理者、エンタープライズ管理者、サービスアカウントグループなど) の一覧を定義して、これらのグループのメンバーがコンピューターにログオンするたびにイベントをトリガーすることであるため、すべての4964イベントを監視する必要があります。Generally speaking, every 4964 event should be monitored, because the purpose of Special Groups is to define a list of critical or important groups (Domain Admins, Enterprise Admins, service account groups, and so on) and trigger an event every time a member of these groups logs on to a computer. たとえば、管理者以外のワークステーションにログオンするすべてのドメイン管理者が監視できます。For example, you can monitor for every Domain Administrators logon to a non-administrative workstation.