リモートデスクトップで知っておくべき「イベントログ」の見方

リモートデスクトップ

リモートデスクトップでホストをインターネットに公開する場合の一番のインシデントは、不正アクセスです。

自身の被害ならまだいいのですが、犯罪被害の踏み台になっていたら、大変です。

そのためにもパスワードは複雑な一定以上の長さのものを設定しておくべきでしょう。

あるいは生体認証も身近なものになってきましたから、採用を検討するといいでしょう。

ログは起こってしまったことを確認する手段ですが、毎日の確認で、異常を早く見つけることができます。

誰が何処からアクセスしたのかをログをとって日々確認しましょう。

Windows10をリモートデスクトップホストにしたときの、イベントログの設定と見方を解説します。

イベントビューアーの開き方

「スタート」ボタンを右クリックして、「イベントビューアー」を選択します。

スタートボタンを右クリック ー イベントビューアー

イベントビューアーが起動します。

イベントビューアー

リモートデスクトップのログのありか

リモートデスクトップ アクセスのイベントは、既定でログをとるように設定されっています。

「アプリケーションとサービスログ」「Microsoft」「Windows」と辿ります。

イベントビューアー アプリケーションとサービスログ Microsoft Windows

「TerminalServices-*」がリモートデスクトップについてのイベントが記録される場所です。

TerminalServices-* ログ

Windows10で確認できるTerminalServiceのログは以下のものです。

  • TerminalServices-ClientActiveXCore
  • TerminalServices-ClientUSBDevices
  • TerminalServices-LocalSessionManager
  • TerminalServices-PnPDevices
  • TerminalServices-Printers
  • TerminalServices-RemoteConnectionManager
  • TerminalServices-ServerUSBDevices

この中で、次の二つにソースアドレス(接続元)とユーザー名が表示されています。

  • TerminalServices-RemoteConnectionManager/Operational
  • Microsoft-Windows-TerminalServices-LocalSessionManager/Operational

ログオンイベントを記録する

ログオンとリモートデスクトップ・セッションを結びつけてログに記録するために、イベントログの監査ポリシーを設定します。

監査のポリシーは「ローカルセキュリティポリシー」で設定します。

「スタートボタン」の右となりの「ここに入力して検索」ボックスに「secpol」と入力して、「ローカルセキュリティポリシー」を開きます。

secpol ローカル セキュリティ ポリシー

ローカルセキュリティポリシーの「ローカルポリシー」「ログオンイベントの監査」をダブルクリックします。

監査のポリシー ログオンイベントの監査

「ログオン イベントの監査のプロパティ」ダイアログがポップアップします。

ログオンイベントの監査のプロパティ

「次の場合に監査する」に「成功」「失敗」両方をチェックします。

ログオンイベントの監査のプロパティ

「OK」をクリックしてダイアログを閉じてください。

この作業によって、イベントログにログオンイベントが記録されるようになります。

リモートデスクトップでログオンまたはログオフした後に、イベントビューアーを開いて、イベントログを確認してみましょう。

イベントビューアーを起動します。

イベントビューアーに左ペインで、「Windows ログ」の中の「セキュリティ」に設定したログが記録されます。

イベントビューアー ID4624

正常なログオンのイベントIDは4624です。

リモートデスクトップからのログオンの「ログオン タイプ」は10です。

正常にログオンした「アカウント名」「ドメイン名」「ソースアドレス」などが確認できます。

リモートデスクトップ以外にも「ログオン タイプ」は次のようなものがあります。

ログオン タイプには次のものがあります。

ログオンの種類ログオン タイトル説明
2対話型ユーザーがこのコンピューターにログオンしました。
3ネットワークネットワークからこのコンピューターにログオンしているユーザーまたはコンピューター。
4Batchバッチ ログオンの種類はバッチ サーバーによって使用され、ユーザーの代わりにプロセスが直接介入することなく実行される場合があります。
5サービスサービスがサービス コントロール マネージャーによって開始されました。
7ロックを解除するこのワークステーションのロックが解除されました。
8NetworkCleartextネットワークからこのコンピューターにログオンしたユーザー。 ユーザーのパスワードは、その認証パッケージに、その認証パッケージの未変更の形式で渡されました。 組み込みの認証では、ネットワークを通して送信する前に、すべてのハッシュ資格情報がパッケージ化されます。 資格情報はプレーンテキスト (cleartext とも呼ばれます) でネットワークを通過しない。
9NewCredentials呼び出し元が現在のトークンを複製し、送信接続用の新しい資格情報を指定しました。 新しいログオン セッションのローカル ID は同じですが、他のネットワーク接続には異なる資格情報を使用します。
10RemoteInteractiveターミナル サービスまたはリモート デスクトップを使用してリモートでこのコンピューターにログオンしたユーザー。
11CachedInteractiveユーザーが、コンピューターにローカルに保存されたネットワーク資格情報を使用してこのコンピューターにログオンしました。 ドメイン コントローラーにアクセスして資格情報を確認していない。
ログオンタイプ 一覧表

フィルターで抽出する

イベントビューアーの中央ペインにたくさんのログが表示されます。

この中から目的のログを探すのは大変です。

イベントIDがわかっていれば、フィルターで抽出できます。

例えば4624は正常ログオンです。

フィルターで4624を入力して、成功ログオンをリストアップしましょう。

イベントビューアーの右ペインで「現在のログをフィルター…」をクリックします。

イベントビューアー 現在のログをフィルター

ダイアログがポップアップします。

イベントビューアー 現在のログをフィルターのダイアログ

<すべてのイベントID>入力ボックスに、検索するIDを入力します。カンマで区切って複数のIDを指定することもできます。

現在のログをフィルターのダイアログ

ID4624のイベントが抽出されます。

フィルターでイベントID4624

4624ログで、ログオンしたアカウント名、ソースアドレス、ワークステーション名などが確認できます。

ただし、セキュリティー面で重要なのは成功よりも失敗のログでしょう。

「4625」が失敗のイベントIDです。

フィルターでイベントID4625

ここに覚えのない複数の失敗ログがある場合は、公開したアドレスをポート番号が狙われています。

対策としては、以下のものがあります。

  • whoisでソースアドレスの管理者を調べて対策を求める
  • 公開ポートを変更する
  • アカウントロックを設定して、複数回パスワードを間違えると一定期間アカウントをロックする

ソースアドレスが海外の場合は、その管理者に対策を求めても改善される期待は薄いでしょう。

公開ポートを変更してポートを隠すと、不正アクセスに効果があります。

複数回、続けてログオンに失敗した場合に、一定期間アカウントをロックすると、安全性は高まります。

「ログオン イベントの監査」に関係のあるイベントIDは以下の通りです。

ログオン イベント説明
4624ユーザーがコンピューターに正常にログオンしました。
4625ログオンに失敗しました。 不明なユーザー名またはパスワードが無効な既知のユーザー名でログオンが試行された。
4634ユーザーのログオフ プロセスが完了しました。
4647ユーザーがログオフ プロセスを開始しました。
4648ユーザーは、別のユーザーとして既にログオンしている間に、明示的な資格情報を使用してコンピューターに正常にログオンしました。
4779ユーザーがログオフせずにターミナル サーバー セッションを切断しました。
ログオン イベントの監査 イベントID一覧表

アカウント ロックアウト設定

アカウントロックアウトの設定はローカルセキュリティポリシーで、「アカウントロックのポリシー」を設定します。

secpol アカウント ロックアウトのポリシー

「アカウントロックのロックアウトのしきい値」をダブルクリックして、任意のしきい値を設定します。

アカウントロックアウトのしきい値
アカウントロックアウトのしきい値のプロパティ

この回数を超えてログオンに失敗すると、ロックアウトされます。

ロックアウトの期間は、「ロックアウト カウンターのリセット」「ロックアウト期間」で設定した時間です。

この時間が経過するまでは、正しいアカウント情報を入力したとしても、ログオンできません。

失敗回数を「0」に設定すると、ロックアウトが無効になります。

「アカウントロックのロックアウトのしきい値」を設定すると、「提案された値の変更」で「ロックアウト カウンターのリセット」と「ロックアウト期間」の30分が自動設定されます。

提案された値の変更

注意が必要なのは、「ロックアウト カウンターのリセット」「ロックアウト期間」を「0」分に設定すると、管理者手動でロック解除するまで、アカウントが停止されることです。

ロックアカウント カウンターのリセット ロックアウト期間

「0」分に設定してロックアウトの期間を設定しない場合は、別の管理者アカウントを事前に作って、そのアカウントでログオンしなければ、永遠にロック解除できなくなります。

アカウント ロックアウトのイベント ログ

アカウント ロックアウトをイベント ログに記録するために、ローカルセキュリティポリシーの「ローカルポリシー」の「監査ポリシー」で、「アカウント管理の監査」をダブルクリックします。

secpol アカウント管理の監査
アカウント管理の監査のプロパティ

「次の場合に監査する」の「成功」「失敗」ともに☑を入れます。

アカウント管理の監査のプロパティ

これでロックアウトがイベントログに記録されるようになります。

ロックアウトのイベントIDは4740です。

イベントビューアーのフィルターでID4740をリストアップします。

イベントID4740 ユーザーアカウントがロックされました。

この例では5回の失敗でロックアウトする設定なので、ログオン失敗のイベントID4625が4回続いて、4740のロックアウトが現れます。

4625の後の4740

ロックされているアカウント情報で、リモートデスクトップ接続すると、次のような警告が表示されます。

ログオンの試行とパスワード変更の試行が何回もされたので、セキュリティを保護するため、ユーザーアカウントはロックされました。

まとめ

コンピューターに起こるインシデントを発見する一番確実な方法は、ログを確認することです。

コンピューターは自分のやっていることを、逐次ログに書き出していきますから、その量は膨大になります。

その中から適切に必要な情報を取り出すには、事前の設定と知識が必要です。

リモートデスクトップの醍醐味は、遠く離れた場所にあるコンピューターにアクセスすることです。

それにはインターネットを使いますが、インターネットには危険がつきものです。

安全なリモートライフのために、頻繁にログを確認しましょう。

タイトルとURLをコピーしました