none
イベントビューアのセキュリティのイベントID:540のログについて

    質問

  • OS:Windows Server 2003 R2

    イベントビューアのセキュリティで、

    イベントID:540

    種類:成功の監査

    ユーザー:NT AUTHORITY¥ANONYMOUS LOGON

    で、説明が

    ログオンの種類:3

    ログオン プロセス:NtLmSsp

    認証パッケージ:NTLM

    ワークステーション名:~~~~~~

    ソースネットワークアドレス:192.168.1.~

    ソースポート:0

    と表示されております。

    ここで、質問なのですが、

    ローカルネットワーク内のPCの名称とIPアドレスは全て把握しているつもりなのですが、

    ここに表示されているワークステーション名とソースネットワークアドレスが

    身に覚えがないものが表示されております。

    これはどういったことなのか、教えていただいてもよろしいでしょうか。

    よろしくお願いいたします。

    • 移動 山本春海Moderator 2012年5月24日 9:11 より適切と思われるカテゴリに移動しました。 (移動元:Windows クライアント開発 - 全般)
    2012年5月24日 7:35

回答

  • 解決いたしましたので、ご報告させていただきます。

    私の知らないところで、ローカルネットワーク内の空いているLANを一時、使用した人がいたためでした。

    まず、最初に疑わなければならない点でしたのに、見落としてました。

    こんな凡ミスにお付き合いくださいまして、ありがとうございます。

    そして、すみませんでした。

    以上で、この件は解決とさせていただきます。

    • 回答としてマーク quake7 2012年6月1日 4:33
    2012年6月1日 4:33

すべての返信

  • こんにちは。

    単純に考えて、誰かが匿名ログインを行っているか試みているっていう事になると思いますが。

    ローカルネットワークは、完全に閉じている環境でしょうか?

    ルータやファイアウォールで適切にブロック出来ていないなどという事はありませんか?


    2012年5月25日 1:15
  • Keiichi様、返信ありがとうございます。

    外部からの接続は可能としている状態です。

    しかし、外部からの接続であった場合、
    ソースネットワークアドレスに表示されるアドレスは、
    192.168.1.~とはならずに、外部のものにならないのでしょうか?

    >誰かが匿名ログインを行っているか試みている
    これが内部のPCでしたら、
    ソースネットワークアドレスには、
    そのPCのIPアドレスが表示されるのではないのでしょうか。

    もし、私がまとはずれなことを言っている場合、申し訳ありません。

    よろしくお願いいたします。



    2012年5月25日 4:03
  • こんにちは。

    ローカルネットワーク機器のすべてのIPアドレス(ブロードキャスト等も含む)を全て把握している前提で、192.168.1.~が内部に無いとすれば、当然外部のものだと思います。というか、このIPとしてログインを試みている(試みられている)って事だと思います。

    外部だから、接続元IPが192.168.1.~以外であるという事にはなりませんし。改竄もありえるでしょうし。

    「誰か」というのは、内部のPCをさしているわけではなくて、ネットワークに接続可能な誰か(当然外部も)をさしています。
    2012年5月25日 6:28
  • Keiichi様、返信ありがとうございます。

    ということは、考えうるのは、

    ・たまたま外部接続してきたIPアドレスが192.168.1.~

    ・IPアドレス改竄によって、不正アクセスをしようとしていた

    ということになるのでしょうか。

    よろしくお願いいたします。

    2012年5月25日 7:14
  • こんにちは。

    確実な事は、提示されている情報だけでは特定できないのですが(^^;

    外部からのアクセスの可能性はあるっていうだけです。

    ルータのログなども見てみなければわかりませんし、FWでブロックがどのように行われているかなども関係しますよね。
    ローカルネットワークのセグメントアドレスが、192.168.1.であれば、実際にアクセスしている機器があるかもしれません。
    何か匿名でログインしている(すべき)コンポーネントを使っているかもしれません。
    あくまでも「全て把握している前提」で、可能性を示唆したにすぎません。

    Anonymousログインを許可しているFTPサイトがあったり、IEのホップの問題でも似たような現象が起きたという記事を見かけた事もあります。

    ちなみに、無防備なネットワークですと、外部から不思議なWS名で、同様のIPアドレスで、インストールされていないRDBへのログインを試みるパケットが、頻繁に送られてくるといった事などや、Nullセッションでのログインを試みるパケットが送られてくるといった事は、実際に頻繁にあります。

    というようなことから、即断はできませんが、

    >・たまたま外部接続してきたIPアドレスが192.168.1.~
    >・IPアドレス改竄によって、不正アクセスをしようとしていた

    といった事の証拠などを、ルータやFWのログ、その他の調査ではっきりさせる必要があると思いました。

    ※そもそも、匿名ログインを許可するつもりが無いという前提での話です。これ大事です。

    2012年5月28日 5:08
  • Keiichi様、ご返信ありがとうございます。

    ルータとFWのログは確認いたしましたが、

    外部からの不正アクセスといったものは、見受けられないように見えました。

    >実際にアクセスしている機器があるかもしれません

    >何か匿名でログインしている(すべき)コンポーネントを使っているかもしれません

    この可能性が大きそうですね。。。

    もう少し、こちらの方で調査してみます。

    長々とお付き合いいただき、ありがとうございます。

    2012年5月28日 6:11
  • 解決いたしましたので、ご報告させていただきます。

    私の知らないところで、ローカルネットワーク内の空いているLANを一時、使用した人がいたためでした。

    まず、最初に疑わなければならない点でしたのに、見落としてました。

    こんな凡ミスにお付き合いくださいまして、ありがとうございます。

    そして、すみませんでした。

    以上で、この件は解決とさせていただきます。

    • 回答としてマーク quake7 2012年6月1日 4:33
    2012年6月1日 4:33