こんにちは。
Windows Server 2012 において、ユーザー名が正しいがパスワードが間違っている場合にログイン失敗イベント(イベント ID 4625)が記録されない問題について、以下のような調査方向と解決策を提案します。
- Windows のデフォルト動作
Windows は、ユーザー名が存在しない場合、セキュリティ上の理由からログイン失敗イベントを記録しないことがあります。これは、攻撃者にユーザー名の有無を推測されないようにするための設計上の動作です。したがって、ユーザー名が存在しない場合にイベントが記録されないのは、システムの故障ではなく、Windows のデフォルト動作である可能性があります。
- グループポリシーの確認
以下のグループポリシー設定を確認し、適切に構成されているか確認してください。
監査ポリシーの設定
グループポリシー管理エディター(gpedit.msc
)を開きます。
以下のパスに移動します:
コンピュータの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > 監査ポリシー
以下のポリシーが有効になっていることを確認します:
アカウント ログオン イベントの監査(Audit Account Logon Events):失敗を有効にする。
**ログオン イベントの監査**(Audit Logon Events):**失敗**を有効にする。
セキュリティオプションの設定
**グループポリシー管理エディター**(`gpedit.msc`)を開きます。
以下のパスに移動します:
コンピュータの構成 > Windows の設定 > セキュリティの設定 > ローカル ポリシー > セキュリティ オプション
以下のポリシーを確認します:
監査: グローバル システム オブジェクトへのアクセスを監査する(Audit: Audit the access of global system objects):有効にする。
**監査: 匿名アカウントのアクセスを監査する**(Audit: Audit the access of anonymous accounts):**有効**にする。
- イベントログの設定確認
イベントログの設定が正しく構成されているか確認します。
イベントビューアー(eventvwr.msc
)を開きます。
Windows ログ > セキュリティ を右クリックし、プロパティを選択します。
最大ログサイズが十分に大きいことを確認し、ログがいっぱいになったときの動作が「古いイベントを上書きする」に設定されていることを確認します。
- ドメインコントローラーの確認
ADドメイン環境では、ログインイベントがドメインコントローラーに記録される場合があります。ドメインコントローラーのセキュリティログを確認し、イベント ID 4625 が記録されているか確認してください。Windows Server 2012 において、ユーザー名が正しいがパスワードが間違っている場合にログイン失敗イベント(イベント ID 4625)が記録されない問題について、以下のような調査方向と解決策を提案します。
回答がお役に立ちましたら、「回答を承認する」をクリックし、アップボートしてください。