Windows

Windows アカウントが
ロックされる仕組みと原因の特定方法
概要 / 目次
• アカウントがロックされる仕組み
• アカウントがロックされる一般的な原因
• 原因特定のための調査方法
調査 1 : 認証要求元の特定
調査 2 : クライアント上でのプロセスの追跡
•
•
原因特定のための確認事項
詳細なプロセス追跡方法
• アカウント ロックの一時的な回避方法
アカウントがロックされる仕組み
[コンピューターの構成] – [(ポリシー)] – [Windows の設定]
- [セキュリティの設定] – [アカウント ロックのしきい値]
が有効である場合
パスワード B
クライアント
ローカル PC または
ドメイン コントローラー
パスワード A
パスワード B
PDC エミュレーター
アカウントがロックされる一般的な原因
1. アプリケーション、サービスなどの
起動アカウントのパスワードが不正である場合
2. マルウェアによる影響
3. 人為的な総当り攻撃(ブルート フォース アタックなど)
4. 人為的な入力ミス
5. カスタム GINA の影響
(Windows XP, Windows Server 2003 の場合のみ)
6. リモート接続のセッションの残留
7. ドメイン コントローラー (DC) の複製の問題
8. PDC エミュレーターと DC 間の通信上の問題
原因特定のための調査方法
二段階の調査が必要
調査 1:認証要求元の特定
調査 2:クライアント上でのプロセスの追跡
•
•
原因特定のための確認事項
詳細なプロセス追跡方法
調査 1 : 認証要求元の特定
1. 監査ログを有効にする
ドメイン ユーザーの場合 : ドメイン コントローラー (DC) 全台
(Default Domain Controllers ポリシーなど)
ローカル ユーザーの場合 : 認証要求先のローカル PC のローカル ポリシー
[コンピュータの構成] - [(ポリシー)] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] [監査ポリシー] 以下のポリシーで "成功" および "失敗" を有効。
- アカウント ログオン イベントの監査
- アカウント管理の監査
- ログオン イベントの監査
2. アカウントがロックされるまで待つ
3. アカウント ロック発生後、セキュリティ イベント ログ
を確認し認証要求元クライアントを特定
ドメイン ユーザーの場合 : PDC エミュレーター、およびドメイン内のドメイン コントローラー
ローカル ユーザーの場合 : 認証要求先のローカル PC
ドメイン ユーザーの場合の確認方法 - 1/3
1. PDC エミュレーターのセキュリティ ログを確認。
2. ID:644 (Windows Server 2003) ID:4740 (Windows Server
2008 以降) のログをフィルターし、アカウント ロックが発生した時刻を特定。
●ID:644 サンプル イベント
●ID:4740 サンプル イベント
ドメイン ユーザーの場合の確認方法 - 2/3
3. ID:675 (Windows Server 2003) ID:4771 (Windows Server
2008 以降) のログをフィルターし、2. で確認した時刻よりも前の時刻で、
エラー コード 0x18 のイベントを確認。
●ID:675 サンプル イベント
●ID:4771 サンプル イベント
ドメイン ユーザーの場合の確認方法 - 3/3
4. ID:675 (Windows Server 2003) ID:4771 (Windows Server 2008 以
降) のクライアント アドレス欄を確認し、ドメイン内に存在しているすべてのドメ
イン コントローラーの IP アドレスと照らし合わせる。
●ID:675 サンプル イベント
●ID:4771 サンプル イベント
ドメイン コントローラーのものではない・・・認証要求元のクライアントの IP アドレスとなる。
ドメイン コントローラーである・・・・・・・対象の IP アドレスをもつドメイン コントローラー上で、3. から 4. を実施。
※ ID 675 (Windows Server 2003) ID:4771 (Windows Server 2008 以降) が記録されていない場合には、
ID:680 ID:4776 (エラー コード : 0xC000006A) のイベントを同様に確認。
確認をいただくイベント ログ (まとめ)
OS
Windows Server 2003
Windows Server 2008 以降
NTLM 認証の失敗
Kerberos 認証に失敗 アカウント ロックの発生
ID:680
ID:675
(失敗の監査)
(失敗の監査)
エラー コード:
エラー コード:
0xc000006a ※1
0x18 ※2
ID:4776
ID:4771
(失敗の監査)
(失敗の監査)
ID:4740
エラー コード:
エラー コード:
(成功の監査)
0xc000006a ※1
0x18 ※2
ID:644
(成功の監査)
※1
エラー コード : 0xC000006a は、パスワード不一致を示します。
エラー コード : 0xC0000234 は、既にロック状態であることを示します。
※2
エラー コード : 0x18 は、パスワード不一致を示します。
エラー コード : 0x12 は、既にロック状態であることを示します。
原因特定のための調査方法
二段階の調査が必要
調査 1 : 認証要求元の特定
調査 2 : クライアント上でのプロセスの追跡
•
•
原因特定のための確認事項
詳細なプロセス追跡方法
原因特定のための確認事項
1. アカウント ロックの頻度
2. ウイルス スキャンの実施
3. 各パスワードの確認
バッチなどのプログラム実行ユーザー
サービス、スケジュールされたタスクの起動パスワード
その他アプリケーション実行ユーザーのパスワード など
4. カスタム Gina 利用の確認 (Windows XP, Windows Server 2003 の場合)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
GinaDll [REG_SZ]
5. リモート デスクトップのセッション確認
クレデンシャル マネージャーについて
[スタート] - [ファイル名を指定して実行]
- [control keymgr.dll] を入力
Windows 7 の場合
Windows XP の場合
セッションの残留について
[スタート] - [管理ツール] - [リモート デスクトップ サービス]
- [リモート デスクトップ サービス マネージャー]
(Windows Server 2008 R2 の場合)
アプリケーション レベルでの切り分け
原因の特定のためには切り分けが重要
アプリケーションのアンインストール
サードパーティ製のサービスの停止
クライアント上でのプロセスの追跡
セキュリティ ログ(監査ログが設定されている状態)
[コンピュータの構成] - [(ポリシー)] - [Windows の設定] - [セキュリティの設定] - [ローカ
ル ポリシー] - [監査ポリシー] 以下のポリシーで "成功" および "失敗" を有効。
-
アカウント ログオン イベントの監査
アカウント管理の監査
プロセス追跡の監査
ログオン イベントの監査
プロセス モニター
http://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx
Network Monitor 3.4
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=983b941d-06cb-4658-b7f63088333d062f
Windows XP の場合
•
ALockout.dll デバッグ ログ
http://www.microsoft.com/downloads/details.aspx?FamilyID=7AF2E69C-91F3-4E63-8629B999ADDE0B9E&displaylang=en
アカウント ロックの一時的な回避方法
グループ ポリシーにて
[アカウント ロックアウトのしきい値] を
無効 (0 回) に設定
誤った認証情報を送り続けているクライアント
の LAN ケーブルを抜く、など、ネットワーク
に接続させない
参考資料
Account Lockout Tools
http://technet.microsoft.com/en-us/library/cc738772(WS.10).aspx
•
アカウント ポリシー
http://technet.microsoft.com/ja-jp/library/dd362969.aspx
•
アカウントがロックアウトされる
http://blogs.technet.com/b/jpntsblog/archive/2009/03/19/321512
5.aspx
•
アカウント ロックアウトのポリシー
http://technet.microsoft.com/ja-jp/library/cc779981(WS.10).aspx
•