本記事はマイクロソフト社員によって公開されております。
Windows プラットフォームサポートの丸山です。
本日は、Windows 10 のセキュリティ ログに Guest アカウントのログオン失敗の監査が記録される事象について、ご紹介させていただきます。
Explorer より、Guest アカウントへのログオン失敗の監査ログが記録される動作について
Windows では、フォルダーの共有タブを開いた際など、いくつかのシナリオにおいて Guest アカウントが有効であるかどうかをチェックして、画面の表示を変える動作がございます。
また、Guest アカウントが有効であるかどうかをチェックする際には、実際に Guest アカウントにログオンすることにより、Guest アカウントが有効であるかどうかをチェックする動作となっております。
このため、Guest アカウントが無効、かつ、ログオンの失敗の監査が有効な環境では、エクスプローラーの操作により、Guest アカウントに対するログオンの失敗の監査が記録されるようになります。
- 記録されるログオン失敗の監査イベントの例
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45ログの名前: Security
ソース: Microsoft-Windows-Security-Auditing
日付: yyyy/mm/dd hh:mm:ss
イベント ID: 4625
タスクのカテゴリ: Logon
レベル: 情報
キーワード: 失敗の監査
説明:
アカウントがログオンに失敗しました。
サブジェクト:
セキュリティ ID: xxxxx
アカウント名: xxxxx
アカウント ドメイン: xxxxx
ログオン ID: 0x12345678
ログオン タイプ: 3 << ネットワーク ログオンであることを示しております
ログオンを失敗したアカウント:
セキュリティ ID: NULL SID
アカウント名: Guest << Guest アカウントへのアクセスとなります
アカウント ドメイン: xxxxxxxx
エラー情報:
失敗の原因: アカウントは現在無効に設定されています。
状態: 0xC000006E
サブ ステータス: 0xC0000072
プロセス情報:
呼び出し側プロセス ID: 0x1234
呼び出し側プロセス名: C:\Windows\explorer.exe << explorer.exe からのログオンとして記録されます
ネットワーク情報:
ワークステーション名: xxxxxxxx
ソース ネットワーク アドレス: -
ソース ポート: -
詳細な認証情報:
ログオン プロセス: Advapi << LogonUser などの関数を用いたログオンであることを示しております
認証パッケージ: Negotiate
移行されたサービス: -
パッケージ名 (NTLM のみ): -
キーの長さ: 0
(以下略)
Guest アカウントのログオン失敗の監査が記録される具体的な操作の例について
Guest アカウントのログオン失敗の監査が記録される具体的な操作ですが、以下の操作が該当することを確認しております。
1. ドメイン環境にて共有されたフィルダー配下のファイルのプロパティ画面における [共有ユーザー] の表記
Windows 10 にてフォルダーを右クリックして、[アクセスを許可する] メニューから特定のユーザーを選択しますと、当該フォルダーを共有するとともに、ユーザーごとに読み取り、書き込みなどのアクセス権が設定可能になります。
この画面で、アクセス権を付与する対象に [Everyone] を追加して、[読み取り] あるいは [読み取り/書き込み] など、カスタムではないアクセス権が設定されている場合、当該フォルダー配下に配置されたファイルのプロパティを開き、[詳細] タブを開きますと、[共有ユーザー] という項目が表示されます。
このとき、非ドメイン環境の場合、Everyone に対してアクセス権が付与されている場合、共有ユーザーには [Everyone] と言う値が記載されますが、ドメイン環境ではGuest アカウントが有効であるかどうかをチェックしており、Guest アカウントが [無効] な場合には [すべてのドメイン ユーザー] と表記され、Guest アカウントが [有効] な場合には [すべてのユーザー] と表記される動作でございます。
非ドメイン環境の場合
ドメイン環境で Guest アカウントが [無効] な場合
ドメイン環境で Guest アカウントが [有効] な場合
2. 非ドメイン環境におけるフォルダーの [共有] タブの表記
非ドメイン環境においてフォルダーのプロパティ画面を開き、[共有] タブを開いた際、[パスワード保護] の領域が表示されることがございます。この画面を開くとき、Guest アカウントが有効であるかどうかをチェックしており、Guest アカウントが [無効] な場合と [有効] な場合にメッセージの内容を変えております。ドメイン環境では [パスワード保護] の領域がなく、Guest アカウントが有効であるかどうかをチェックしておりません。
非ドメイン環境で Guest アカウントが [無効] の場合
非ドメイン環境で Guest アカウントが [有効] な場合
ドメイン環境の場合 (パスワード保護の項目無し)
3. プリンターのプロパティ画面の [共有] タブの表記
非ドメイン環境においてプリンターのプロパティ画面を開き、[共有] タブを開いたとき、Guest アカウントが有効であるかどうかをチェックしており、Guest アカウントが [無効] な場合と [有効] な場合にプリンターのアイコンの隣にあるメッセージの内容を変えております。ドメイン環境ではメッセージの内容は固定となっており、Guest アカウントが有効であるかどうかをチェックしておりません。
非ドメイン環境で Guest アカウントが [無効] の場合
非ドメイン環境で Guest アカウントが [有効] の場合
ドメイン環境 (Guest アカウントが [有効] であるか [無効] であるかによる表記の変化はありません)
4. [ネットワークと共有センター] の [パスワード保護共有]
非ドメイン環境において [ネットワークと共有センター] の共有の詳細設定画面を開きますと、[パスワード保護共有] と言う項目が表示されます。
この画面を開くとき、Guest アカウントが有効であるかどうかをチェックしており、Guest アカウントが [無効] な場合には、[パスワード保護共有を有効にする] がチェックされており、Guest アカウントが [有効] な場合には [パスワード保護共有を無効にする] がチェックされております。
またこの画面において、[パスワード保護共有を有効にする] にチェックを入れて [変更の保存] を押下すると、Guest アカウントが [無効] になり、[パスワード保護共有を無効にする] にチェックを入れて [変更の保存] を押下すると、Guest アカウントが [有効] になります。
ログオン失敗の監査が既定で有効となる OS バージョンについて
Windows Server 2008 以降、サーバー OS では以前より、ログオン失敗の監査が既定で [有効] になっていますが、Windows 10 バージョン 1803 以前のクライアント OS では、ログオン失敗の監査は既定で [無効] でした。Windows 10 バージョン 1809 以降のクライアントでは、ログオン失敗の監査が既定で [有効] になっています。
Windows 10 バージョン 1803 以前
Windows 10 バージョン 1809 以降
Windows 10 バージョン 1809 以降の環境では、既定の構成で Guest アカウントが [無効] であり、ログオン失敗の監査が [有効] になっておりますことから、エクスプローラーの操作により、Guest アカウントに対するログオンの失敗の監査が記録される動作となっております。
もし、ログオン失敗の監査が不要であれば、以下のコマンドを実行して、ログオンの失敗の監査を [無効] にしていただくことをご検討ください。
1 | auditpol /set /subcategory:ログオン /failure:disable |
本情報が、お役立ちできますと幸いです。
更新履歴 - Update History
- 2022/01/20 : 本 Blog の公開