アカウント ロックアウト トラブルシューティング (第三回) – アカウント ロックアウトの調査に役立つツール

第一回 はアカウント ロックアウトの仕組みと主な要因について、また 第二回 ではアカウントロックアウトの具体的な調査方法について解説しました。 最終回となる本稿では、アカウント ロックアウトの調査に役立つツールを 2 つほど紹介します。   1. Account Lockout and Management Tools 本ツールはアカウント ロックアウトの原因調査のために用意されたツールで、下記のサイトで公開しています。  Account Lockout and Management Tools  http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=18465 上記のサイトよりダウンロードした ALtool.exe を実行して任意の場所に展開すると、アカウント ロックアウトの調査に役立つツールが複数含まれています。インストールは不要です。Windows 7 などのクライアント OS でも利用することが可能です。今回はこの中に含まれる EventCombMT.exe と LockoutStatus.exe を紹介します。   EventCombMT.exe ドメイン コントローラーが複数台ある環境では、全台のドメイン コントローラーにログオンして 1 台ごとに監査ログを確認していては大変手間が掛かってしまいます。このような場合は、EventCombMT.exe が便利です。EventCombMT.exe は、複数のドメイン コントローラー上のセキュリティ ログから特定のイベント ID のイベントを検索して、テキストファイルに出力することができます。     [Tips] EventCombMT.exe の利用方法 1….

0

アカウント ロックアウト トラブルシューティング (第二回) – アカウント ロックアウトの調査方法

第一回 ではアカウント ロックアウトの仕組みと主な要因について解説しました。しかしながら、誤ったパスワードは、ユーザーが普段使用しているクライアントに設定されているとは限りません。第二回目の本稿では、誤ったパスワードを設定しているコンピューターを特定するための方法について解説します。   アカウント ロックアウトの調査の流れ アカウントロックアウトの調査は、次の順番に作業を進めます。 STEP1: 監査ログの有効化 STEP2: 認証元の特定 STEP3: 原因の特定   STEP1:  監査ログの有効化 ドメイン コントローラー全台で下記の監査の設定 (成功と失敗の両方) を有効にして、どのコンピューターから誤った認証が行われているか確認します。 「アカウント ログオン イベントの監査」 「アカウント管理の監査」 「ログオン イベントの監査」   [Tips] 監査ログの適用先 ドメインのグループ ポリシーで設定する場合は、Default Domain Controllers Policy などに設定します。 これにより、ドメイン コントローラー全台に上記の監査を有効にすることができます。   [Tips] 監査を有効にすることによる影響 監査の有効化による影響としては、セキュリティ ログに書き込まれるイベントの数が増えることが挙げられます。セキュリテイログなどのイベントビューアーに記録される各ログは、最大サイズを超えると古いログが消去されるため、環境によっては数時間しか取得できないといった場合があるかもしれません。その場合は、「オブジェクト アクセスの監査」や「プロセス追跡の監査」などの非常に多数のイベントが記録される監査が有効になっていないか確認します。もしも「オブジェクト アクセスの監査」や「プロセス追跡の監査」が有効になっている場合は、アカウントロックアウトの調査のために無効化することも検討してみてください。   [Tips] アカウント ロックアウトに関わるイベント ID Windows Server 2008 以降のドメイン コントローラーでは、アカウント ロックアウトに関連するイベントとして、下記の ID のイベントが記録されます。 ID…

0

アカウント ロックアウト トラブルシューティング (第一回) – アカウント ロックアウトの仕組みと主な要因

  こんにちは、Windows プラット フォーム サポートの進藤です。   セキュリティの向上の一環として、ユーザーが連続してパスワードの入力に失敗した場合に、アカウントをロックアウトさせる設定をされている方は多くいらっしゃるかと思います。 しかしながら、実際にアカウント ロックアウトの設定を行ってみたところ、ユーザーが入力ミスをしていない (少なくともユーザーからはそのように申告をうけている) にも関わらず、アカウントがロックアウトされてしまい、お困りの管理者の方もいらっしゃるのではないでしょうか。 今回はアカウント ロックアウトのトラブルシューティングの方法を3回に分けて解説します。 第一回  アカウント ロックアウトの仕組みと主な要因 (本稿) 第二回  アカウント ロックアウトの調査方法 第三回  アカウント ロックアウトの調査に役立つツール また、今回のテーマはドメイン コントローラーの監査ログにログオン失敗のイベントが記録される場合の調査にも役立ちますので、参考にしていただければと思います。   1. アカウント ロックアウトの設定 Active Directory ではグループ ポリシーの中に、ユーザーが一定回数以上認証に失敗した場合に、そのユーザーのアカウントをロックアウトさせるための設定があります。 ※Default Domain Policy で設定を行います。既定では無効となっています。 アカウント ロックアウトのポリシー [コンピューターの構成] -[ポリシー] – [Windows の設定] – [セキュリティの設定] – [アカウント ポリシー] – [アカウント ロックアウトのポリシー] パスワードのポリシー [コンピューターの構成] -[ポリシー] – [Windows…

0