none
Server2012R2へKB4012216を適用した際に、ログオン監査ログが出力されなくなる。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。標記の件につきまして質問させてください。

    以下の環境で、ActiveDirectoryの運用をしております。

    • ドメインコントローラ2台(Windows Server 2012R2)
    • ドメインの機能レベル:Windows Server 2012R2

    ドメインへのログオン監査ログをイベントログ「セキュリティ」に出力するため、Default Domain Controller Policyに以下の設定をしておりました。

    • コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>監査ポリシーの詳細な構成>監査ポリシー>アカウントログオン
    • 「Kerberos認証サービスの監査」に「成功および失敗」を設定

    • コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー>セキュリティオプション
    • 「監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする」を有効

    先日展開されたWindows Update(KB4012216)を適用したところ、上記の「セキュリティ」ログが出力されなくなり、かつ、以下のアカウントログオン監査にしてみても出力されない事象が発生しました。

    • コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー>監査ポリシー
    • 「アカウントログオンイベントの監査」に「成功および失敗」を設定

    そこで、KB4012216をアンインストールしたところ、再度「セキュリティ」ログが出力されるようになりました。

    影響範囲などは不明ですが、上記のような事象および対応について情報がありましたらご教示願います。

    よろしくお願いいたします。


    2017年3月24日 4:14
    |

回答

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    以下の関連する更新プログラムについてそれぞれ適用して検証しましたが、いずれもKB4012216と同様にログオン監査ログが出ない状況になります。
    サーバのセキュリティポリシー上、Windows Updateは適用したいため、調査・回避方法などありましたらご教示お願いします。

    • 2017年3月14日 - KB4012213(セキュリティのみの更新プログラム)
      KB4012216をアンインストールした状態で適用

    • 2017年3月21日 - KB4012219(マンスリーロールアップのプレビュー)
      KB4012216を適用した状態で上書き適用

    Windows 8.1 および Windows Server 2012 R2 の更新履歴
    https://support.microsoft.com/ja-jp/help/24717/windows-8-1-and-windows-server-2012-r2-update-history




    2017年3月28日 17:06
    |
  • Question
    サインインして投票
    0
    サインインして投票

    以下のスレッドでも同じ様にKB4012216の適用により監査ログが記録されなくなったと有りますので、3月の更新プログラムの不具合である可能性が有りそうですね。

    本当にお困りであれば、MSの法人向けサポートに問い合わせた方が良いかもしれません。

     

    https://social.msdn.microsoft.com/Forums/windowsserver/en-US/5f11da98-8793-4d40-9c16-0caf311c1a0d/audit-event-4768-not-logged-after-kb4012216?forum=servervirtualization

    2017年3月28日 22:41
    |
  • Question
    サインインして投票
    0
    サインインして投票

    情報のご提供ありがとうございます。

    いただいた参照先の質問内にあったRedditの投稿URLで、MSのPremier Supportに連絡した方がおり、以下の情報を得ました。
    https://www.reddit.com/r/sysadmin/comments/5zs0nc/heads_up_ms_kb4012213_andor_ms_kb4012216_disables/?st=j0kh8ocn&sh=9fc2f9c1

    • 3月のアップデートのバグであり、MSが修正対応中であること
    • 回避策

    上記の回避策を自身の環境(KB4012213適用状態)で確認したところ、監査ログが出力されるようになりました。

    1. Default Domain Controller Policyにて、
      「コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>監査ポリシーの詳細な構成\監査ポリシー\アカウントログオン」の以下の4つのサブカテゴリに「成功および失敗」を設定
      ・資格情報の確認の監査
      ・Kerberos認証サービスの監査
      ・Kerberosサービスチケット操作の監査
      ・その他のアカウントログオンイベントの監査
    2. コマンドプロンプトにて「gpupdate /force」を入力し適用
    3. コマンドプロンプトにて「auditpol /get /category:*」を入力し、1の内容が適用されていることを確認

    ひとまずこれで様子をみようと思います。貴重な情報ありがとうございました。



    2017年3月31日 22:59
    |