セキュリティイベントに不正ログオンの記録?

前へ 次へ
このQ&Aのポイント
  • セキュリティイベントに不正ログオンの記録がある
  • ウイルスや遠隔操作による可能性がある
  • ログオン記録やアクセス許可の不正な変更が疑われる
回答を見る
  • ベストアンサー

セキュリティイベントに不正ログオンの記録?

以下のURLで 先月質問をさせていただいた者です。 http://okwave.jp/qa/q8911201.html その際は、様々なアドバイスをいただきましてありがとうございました。m()m 先月の質問から、まだPCの初期化は行っていない状態で、 初期化をする予定ですが初期化の前に、いくつか質問させてください。 最近気づきましたが、以下のような現象がありますが、これは正常なことでしょうか? それとも、前回質問した内容にもありますが、自分以外の人間、または ウイルスなどによる、遠隔操作によるものでしょうか? ※ 症状のあるノートPCは私しか使わないもので、自宅使用です。家族も使いません。 ※ 以下の状態は、デスクトップを表示していて、インターネットに接続していない状態で起きています。 (1) イベントビューアのセキュリティイベントに自分がログオンしていない時間のログオン記録がある。 (2) windows7のプロパティから、セキュリティにある、アクセス許可を編集するにあたって、「編集」→「アクセス許可・グループ、のユーザーの追加」→「ユーザーまたはグループの選択の詳細設定」→「検索」とクリックしていくと、ユーザー名やグループがとても沢山 (40個ほど) 表示されますが、普通、こんなにたくさんのユーザーや、グループ名が表示されるものですか? (この40個の中に自分が作ったアカウントがありませんでした) 画像はイベントビューアのセキュリティイベントに記録されていた、自分でログインしていない時間の記録の画像です。 このログを確認する少し前に、ネットにつながない状態でデスクトップを表示させたPCから、ユーザーアカウントを切り替えた時に出るような音(ガタンという音)がしました。 以上のような状況で、説明が分かりにくいかもしれませんが、 ご回答をいただければ助かります。 どうぞよろしくお願いいたします。

画像を拡大する
noname#206857
noname#206857

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

No.1です。 > ウイルスなどが原因で前回の質問のようなことが起きている場合、 > バックアップの際に、データなどをUSBニコピーしても大丈夫でしょうか? 既にカスペルスキー等のウィルス対策ソフトはインストールしていて、 常に稼働しているのですよね? でしたら、あなたのPCにウィルスが入っている可能性は低いと思います。 ただ、ウィルスじゃなくても http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/fraud-software.htm にあるような迷惑ソフトがあなたのPCに入っている可能性は高いと思います。 こういうソフトは勝手に感染するのではなく、あなたがどこかで インストールすることに同意してインストールしているので、 ウィルス扱いされないのです。 同意といっても、 http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/advanced-system-protector.htm にあるように、もともともインストールしたいソフトの インストール画面に「~をダウンロードしてインストールします」 という形で別のソフトのインストールを同意するような メッセージがこっそり出ていて、そこの同意チェックが最初から 勝手にONになっている場合があります。そして、そのチェックを 自分で外さない限り勝手に同意したことにされてしまいます。 初心者はこういうことに気づかず、入れたつもりのないものが 勝手にインストールされてしまうことが多いので注意してください。 こういうことを防ぐには、まず信用できるダウンロードサイトで 信用できるソフト以外はダウンロードしないことです。 ウィルス対策ソフトを入れていても、こういう巧妙な詐欺をしかけて くるソフトまでは防げないということです。警察がいてもオレオレ詐欺が なくならないのと同じです。そういうのに騙されないように自分で 注意する必要があります。 初期化した後は、そういう点に注意してPCを使っていけばよいです。 少し話がずれてしまいましたが、もし仮にウィルス対策ソフトが 壊れて機能しなくなっていて、ウィルス感染したかどうかわからず 心配なのでPCを初期化しなければならないという事態になっても、 必要なデータはUSBメモリ等にバックアップすべきです。 そして、PCを初期化して、ウィルス対策ソフトをちゃんと入れてから、 改めてUSBメモリを差せば、そのUSBメモリに入っているファイルが ウィルスに感染していないかチェックしてくれます。 そのチェックを通過したデータは大丈夫です。

その他の回答 (1)

回答No.1

> (1) イベントビューアのセキュリティイベントに自分がログオンしていない時間のログオン記録がある。 画像にあるアカウント名「NEC-USER-PC$」は、コンピュータ名です。 これは普通によくあります。 その画面に書かれているセキュリティIDが「SYSTEM」とか「LOCAL SERVICE」 になっているものは、そのPCのOS動作に必要な手続きがなされたというだけですので、 さほど心配する必要はありません。 素人がセキュリティ監査イベントを見ても、おそらく必要なものか 不正なものかは見わけがつかないと思います。 > (2) windows7のプロパティから、セキュリティにある、アクセス許可を編集するにあたって、「編集」→「アクセス許可・グループ、のユーザーの追加」→「ユーザーまたはグループの選択の詳細設定」→「検索」とクリックしていくと、ユーザー名やグループがとても沢山 (40個ほど) 表示されますが、普通、こんなにたくさんのユーザーや、グループ名が表示されるものですか?(この40個の中に自分が作ったアカウントがありませんでした) これもシステムに最初から組み込みこまれている名前が表示されているだけですので、 数が多いのは普通です。ユーザー名だけが表示されているのではなく、グループ名や セキュリティプリンシパルも表示されています。 私のPCは数えてみたら49個ありました。 これも普通素人が見たりさわったりするところではありません。 意味もわからず細かいことを調べてみても、疑心暗鬼が増すだけです。 早くPCの初期化(リカバリ)をすればいいのにと思います。 前回の質問をしてから1カ月です。 毎日PCを使用しなければならないので、初期化できないと書いていますが、 こんな状態のパソコンは仕事に使ってはいけない状態ですよ。 どんなことにパソコンを使っているのか知りませんが、 もし取引先の情報やお客様の情報が入っていて、その情報が漏えいしたり したら、こんな状態でパソコンを使い続けるあなたの責任は大きいですよ。 そんな情報がなかったとしても、もし自分がパソコンを使って何かを作っていたら それがいつ壊れてもおかしくない状態ですよ。もし先方に何か提供すると約束して いたものが壊れて提供できなくなったら、やっぱり迷惑をかけて信用を落としますよ。 あと、「バックアップ」という言葉は知っていますか? リカバリをするにあたって「記念の写真などもあるのでとても残念」という ことが書かれていましたが、大事な写真やデータはUSBメモリ等にコピーして おけばよいです。それをバックアップといいます。 初期化する際は、パソコンのマニュアルに初期化手順が詳しく説明されて いますから、それをよく読んで実施してください。

noname#206857
質問者

補足

こんにちは。 ご回答いただきましてありがとうございます。 おっしゃる通りでとてもよくない状態だと思います。 早急に初期化しようと思いますが、 ウイルスなどが原因で前回の質問のようなことが起きている場合、 バックアップの際に、データなどをUSBニコピーしても 大丈夫でしょうか?

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • クライアントのログオンとログオフの記録について

    表題のとおり、クライアントのログオンとログオフの記録について困っています。 グループポリシー管理エディタから Default Domain Policy - コンピュータの構成 - ポリシー - Windowsの設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー と開いていき、「アカウント ログオン イベントの監査」の成功と失敗にチェックを入れています。 しかし、これだと、だれがいつログオン・ログオフしたのかイベントビューワーのWindows ログのセキュリティを見てもさっぱりわかりません。 そこで、 http://www.monyo.com/technical/windows/35.html を参考にスクリプトを Default Domain Policy - ユーザーの構成 - ポリシー - Windowsの設定 - スクリプト のログオンとログオフに設定したのですが、これだとサーバーのコンソールに直接ログオン・ログオフした結果はイベントビューワーのWindows ログのアプリケーションに記録されるのですが、クライアントからログオン・ログオフした場合は記録されません。 一般的な管理者の皆さんはクライアントからのログオン・ログオフをどのように記録されているのでしょうか? ぜひ、ご意見をお聞かせください。 ちなみに環境はサーバーはWindows Server 2008 R2 Standard、クライアントはWinXPからWin7まで雑多です。

  • ログインの記録を見たい。

    XPを使用しています。 コントロールパネル→管理ツール→イベントビューア→セキュリティ の分類がログオン/ログオフとなっているところに ログオンの記録が残っていると、調べました。 しかし確認してみるとシステムイベントしか記録されていません。 何か設定が悪いのでしょうか? もしよろしければ、教えていただけませんか? ぜひよろしくお願い致します。

  • 2000ServerのIIS FTPで「cannot log on」

    こんにちは、honiyonです。 1.Windows2000Serverをクリーンインストール 2.Active Directoryを構築(親ドメイン) 3.FTPインストール  4.FTP用にユーザー作成(Domain Usersになりました)  この状態でFTPにログインしようとすると拒否されました。  イベントビューアには「ログオン失敗: 要求された種類のログオンは、このコンピュータではユーザーに許可されていません。」とログがあります。  試しにローカルセキュリティポリシーで「ネットワーク経由でコンピュータへアクセス」権限を与えましたが、「有効な設定」にチェックがつかず、適用されないようです。  Administratorsグループに所属させればFTPでログイン出来る事は判っているのですが、FTP専用ユーザーに高い権限は与えたくありません。  権限を与えずにFTPアクセスのみ許可させるにはどうすれば良いでしょうか。  よろしくおねがいします。

  • WinXPでイベントが記録されません

    WinXPが動作しているパソコンのイベントビューアを見るとセキュリティに関するイベントが記録されていません。 正確には、最後にログの消去を試行した日時の「成功の監査」が1行だけ記録されます。 アプリケーションやシステムは、それぞれ時々刻々と記録されています。 イベントビューアでプロパティを確認するとアプリケーションやシステムと同じ内容(既定値のまま)になっています。 また当該サービスも自動起動となっており、起動済みであることも確認してあります。 お教え頂きたくお願いいたします。

  • イベントビューアーの見方

    自分の不在時に誰かにパソコンを触れられた様に感じ、 どうにか調べる手はないものかと、、、。 イベントビューアーを見ているのですが、 正直見方が全然分かりません。 気になっているのは「システム」の欄を見てみると、 イベントID・7036がやけに多いです。 こちらは自分がパソコンから離れている時間帯でも 記録されています。 パソコンの知識に乏しい自分でも 理解できる様に分かり易くご説明 頂けると嬉しいです。 また、セキュリティ欄に見られる特殊なログオンも 内容が分からないだけに不安に感じています。 ちなみに、パソコンは午前中に起動させたら そのまま夜まで放置状態です。 ロックなどもかけていないので、自分以外の 誰もが触れられる状態です。

  • ログオンできません…

    Windows XPを使用しているんですが、ログオンしようとすれば「このシステムのローカルポリシーは、このユーザーが対話的ログオンすることを許可していません」と表示されてしまうようになりました。 過去の質問で、Administratorでログオンしてからの対処法があり行なってみたものの、 「アカウントの制限によってログオンできません」と表示され、Administratorでもログインできない状態でした…orz すいませんが、対処法を教えてください。お願いします。

  • ログオフ中に、ログオンになることはありますか

    昼休みなので、会社のパソコンをログオフして昼食を取りに行きました。 帰ってきて、会社のパソコンへログオンしました。 イベントビューアーのwindowsログのセキュリティを見ました。 昼休み中に、ログオンがあります。 こういうことってあるのですか? 1205 昼休みに行きました 12:23:21 ログオン 12:23:21 特殊なログオン 12:23:22 ログオン 13:23:22 特殊なログオン 12:28:53 セキュリティ状態の変更 昼休みから帰ってパソコンを開く 13:31:18 ログオン 13:31:18 特殊なログオン 13:31:22 ログオン 13:31:22 ログオン 13:31:22 ログオン 13:31:22 特殊なログオン 13:31:22 ログオン 13:31:22 ログオン 13:31:22 ログオン 13:31:22 ログオン 13:31:22 ログオン 13:31:22 特殊なログオン 13:31:22 ログオン 13:31:22 ログオン 2行目から6行目までがわからない。 12:23:21 ログオン 12:23:21 特殊なログオン 12:23:22 ログオン 13:23:22 特殊なログオン 12:28:53 セキュリティ状態の変更

  • イベントIDが529と680の失敗の監査について

    別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?

  • イベントビューアのセキュリティでの、匿名ログオンとポリシーの変更について。

    パソコン(Windows XP Home Edition)起動後、イベントビューアのセキュリティを見ると、気になる点があります。 匿名ログオンと、やたらとポリシーの変更があるんです。 1.匿名ログオンについて。 ANONYMOUS LOGONの成功の監査のプロパティには、 日付:xxxx/xx/xx ソース:Security 時刻:xx:xx:xx 分類:ログオン/ログオフ 種類:成功の監査 イベント ID:540 ユーザー:NT AUTHORITY\ANONYMOUS LOGON コンピュータ: xxx とあります。その下の説明(D):にも何かが書いてあります。 匿名ログオンは第三者にログオンされている可能性はあるのでしょうか。 パソコンを買ったばかりの時は匿名ログオンは無いと他の記事で読んだのですが… ユーザー名とパスワードは自動的に入れる設定にしてありません。 この匿名ログオンを禁止する方法はありますか? 2.やたらとポリシーの変更が多くあります。 数えてみたところ、パソコン起動後、毎回32個のポリシーの変更があります。 その中でも特に気になるのが、イベントID:850の項目5個です。 日付:xxxx/xx/xx ソース:Security 時刻:xx:xx:xx 分類:ポリシーの変更 種類:成功の監査 イベント ID:850 ユーザー:NT AUTHORITY\SYSTEM コンピュータ: xxx 説明: Windows ファイアウォールの開始時に、次のポートが例外として一覧表示されていました。 ※上記の成功の監査のプロパティに、下記の説明(D):がそれぞれあります。 ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS ネーム サービス ポート番号: 137 プロトコル: UDP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS データグラム サービス ポート番号: 138 プロトコル: UDP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: NetBIOS セッション サービス ポート番号: 139 プロトコル: TCP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: SMB over TCP ポート番号: 445 プロトコル: TCP 状態: 有効 スコープ: ローカル サブネットのみ ポリシー元: ローカル ポリシー 使用されたプロファイル: 標準 インターフェイス: すべてのインターフェイス 名前: リモート デスクトップ ポート番号: 3389 プロトコル: TCP 状態: 無効 スコープ: すべてのサブネット これはポートが開いてるということなのでしょうか? ポート137~139とポート445は閉じた方が良いと他の記事で読んだ事があるのですが… 開いているのなら、閉じる方法を詳しく教えてもらえませんでしょうか。 詳しい方いましたら、質問を締め切るまで宜しくお願い致します。

  • ANONYMOUSについて

    イベントビューアのセキュリティに 成功の監査 ログオン/ログオフ (ユーザー)ANONYMOUS LOGON が記録されています。また、自分のメールアカウントで覚えのないメールが送信されていました。 1.ANONYMOUS LOGON は、どのような状態なのでしょうか? 2.メールは誰がどのようにして送信したのでしょうか。 3.対処法は? アドバイスよろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する