概要
LanGuardで監視しているドメインサーバーが、Windowsイベントログにログイン失敗(EventID 4625)を表示しました。GFI LanGuardサーバーは監視対象のドメインに含まれておらず、ログインの失敗は、エージェントとの通信に使用されていないGFI Languardサーバーのローカルアカウントを示しています。この記事ではこのような問題に対処するための情報を提供します。
情報
Microsoft Windowsでは、ログオン要求が失敗すると、EventID 4625のイベントがWindowsイベントログに書き込まれます。イベントは、アクセスが試みられたコンピューター上で生成され、Logon Typeフィールドには要求されたログオンの種類が示されます。
LanGuardが監視対象のドメインの一部ではない場合、つまりマルチドメインまたは混合環境では、LanGuardの操作に対して、ログオンタイプ3(ネットワーク)のログイン失敗イベントが表示されるはずです。
そのような環境では、対象となるマシンに代替認証情報を設定することになります。LanGuardは、まずGFI LanGuard アテンダントサービスを実行しているアカウントまたはログインしているユーザー(操作に応じて)でログインを試み、その後、アクティビティに指定された代替認証情報を使用します。これについては、「LanGuardにおける代替認証情報を使用したアカウント権限の設定に関するベストプラクティス」で詳しく説明しています。
ログオンタイプ2(インタラクティブ)のイベントID 4625が表示された場合、これはLanGuardの操作の結果ではないため、セキュリティチームが調査する必要があります。