イベント4797「アカウントの空のパスワードの存在を照会しようとしました」

Question

Windows 8.1デスクトップで、イベントビューアの監査ログにlsass.exeからの次のようなメッセージがたくさん表示されます。

An attempt was made to query the existence of a blank password for an account. Subject: Security ID: LOCAL SERVICE Account Name: LOCAL SERVICE Account Domain: NT AUTHORITY Logon ID: 0x3E5 Additional Information: Caller Workstation: PETTER Target Account Name: Administrator Target Account Domain: PETTER

Administrator、Guest、HomeGroupUser$など、いくつかの異なるターゲットアカウント名でときどき表示されます。このメッセージは、インターネットに接続されているかどうか。

この背後に悪意がないことを確認するために、Malwarebytes、Trend Micro、およびAVGを使用してウイルスチェックを実行しました。これらはすべて、システムが実際にクリーンであることに同意しています。

次に、クリーンなシステムを再インストールしました。メッセージはまだしばらくしてから再び現れました。

システムがネットワークに接続されているかどうかは問題ではないようです。ネットワークケーブルが接続されていなくても、これらのメッセージが表示されます。（S-1-5-19 "ローカルサービス"として実行されていることを考えると、それほど奇妙ではないかもしれません。）

不思議なことに、インターネット上で、この問題に直面している人はたくさんいるようですが、そこにあるスレッドや質問は未解決のままです。

これらのメッセージの起源とは何ですか？なぜ空のパスワードを常にスキャンするのですか？

auditpolの出力は次のとおりです。

C:\WINDOWS\system32>auditpol /get /user:Administrator /category:* No audit policy is defined for the user account. C:\WINDOWS\system32>auditpol /get /category:* System audit policy Category/Subcategory Setting System Security System Extension No Auditing System Integrity Success and Failure IPsec Driver No Auditing Other System Events Success and Failure Security State Change Success Logon/Logoff Logon Success Logoff Success Account Lockout Success IPsec Main Mode No Auditing IPsec Quick Mode No Auditing IPsec Extended Mode No Auditing Special Logon Success Other Logon/Logoff Events No Auditing Network Policy Server Success and Failure User / Device Claims No Auditing Object Access File System No Auditing Registry No Auditing Kernel Object No Auditing SAM No Auditing Certification Services No Auditing Application Generated No Auditing Handle Manipulation No Auditing File Share No Auditing Filtering Platform Packet Drop No Auditing Filtering Platform Connection No Auditing Other Object Access Events No Auditing Detailed File Share No Auditing Removable Storage No Auditing Central Policy Staging No Auditing Privilege Use Non Sensitive Privilege Use No Auditing Other Privilege Use Events No Auditing Sensitive Privilege Use No Auditing Detailed Tracking Process Creation No Auditing Process Termination No Auditing DPAPI Activity No Auditing RPC Events No Auditing Policy Change Authentication Policy Change Success Authorization Policy Change No Auditing MPSSVC Rule-Level Policy Change No Auditing Filtering Platform Policy Change No Auditing Other Policy Change Events No Auditing Audit Policy Change Success Account Management User Account Management Success Computer Account Management No Auditing Security Group Management Success Distribution Group Management No Auditing Application Group Management No Auditing Other Account Management Events No Auditing DS Access Directory Service Changes No Auditing Directory Service Replication No Auditing Detailed Directory Service Replication No Auditing Directory Service Access No Auditing Account Logon Kerberos Service Ticket Operations No Auditing Other Account Logon Events No Auditing Kerberos Authentication Service No Auditing Credential Validation No Auditing

Ben N · Accepted Answer

これは正常です。慌てないでください。

これら2つのイベントのいずれかが発生すると、これらのイベントの1つがローカルアカウントごとにログに記録されます。

スタート画面のユーザータイルを押して、アカウント関連のオプションのドロップダウンを取得します。

この場合、件名は現在ログインしているユーザーです（上のスクリーンショットではme）。ローカルのアカウントが結果のメニューに表示されないドメインに参加しているマシンでも、イベントはログに記録されます。
ログオンUIが表示され、サインインできるローカルユーザーのリストが表示されます。この場合、件名はNT AUTHORITY\LOCAL SERVICE。ユーザー名とパスワードのみが入力されているドメインに参加しているマシンでは、イベントは記録されません。

イベントの意味については、それは缶詰でそれが言っていることです-対象として実行されているアプリケーションは、ターゲットアカウント名で指定されたアカウントの空白のパスワードをテストしました。 Windowsはそれを行うので、ユーザーが持っていないパスワードを要求する必要はありません。パスワードがないときにサインインする前にパスワードボックスが表示されると、混乱する場合があります。

Windowsは、ユーザーがログオン画面またはスイッチリストで他のユーザーのいずれかをクリックするまで、このチェックを行う必要はありませんが、実際にはそうします。

smithari · Answer

これは社内のいくつかのシステムで発生したため、マイクロソフトに直行しました。

「イベントID 4947に関する私の発見によると「アカウントの空白のパスワードの存在を照会する試みが行われました」「ユーザーアカウント管理」の監査を有効にしている場合、このイベントを受け取ります

監査のレベルは情報提供であり、警告やエラーではありません。このイベントは情報提供のみを目的としており、万が一ユーザーが空白のパスワードに設定されているかどうかを確認するため、無視しても問題ありません。このイベントが表示されるのは、監査のみが有効であり、このイベントがシステムの違反を示唆していない場合のみです。」

and31415 · Answer

セキュリティ監査

セキュリティ監査は、企業のセキュリティを維持するのに役立つ強力なツールです。監査は、フォレンジック分析、規制コンプライアンス、ユーザーアクティビティの監視、トラブルシューティングなど、さまざまな目的に使用できます。

Windowsのセキュリティログとシステムログを使用して、セキュリティイベント追跡システムを作成し、潜在的に有害な動作に関連するネットワークアクティビティを記録して保存し、それらのリスクを軽減できます。

_{出典：セキュリティ監査の概要}

セキュリティ監査は、レジストリとファイルシステムへのアクセス、失敗したログオン試行、ユーザーアカウントの変更など、さまざまなカテゴリに分類されます。特定のカテゴリはデフォルトで有効になっています。利用可能なもののリストを取得するには、次のコマンドを高度なコマンドプロンプトから実行します。

auditpol /get /category:*

イベント4797

典型的なイベントは次のようになります。

Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 6/29/2014 10:39:58 AM Event ID: 4797 Task Category: User Account Management Level: Information Keywords: Audit Success User: N/A Computer: <ComputerName> Description: An attempt was made to query the existence of a blank password for an account. Subject: Security ID: LOCAL SERVICE Account Name: LOCAL SERVICE Account Domain: NT AUTHORITY Logon ID: 0x3E5 Additional Information: Caller Workstation: <ComputerName> Target Account Name: Administrator Target Account Domain: <DomainName>

ご覧のとおり、カテゴリはユーザーアカウント管理で、ユーザーアカウントに関連する監査イベントが生成されます。他とは異なり、この特定のイベントは文書化されていないようです。

すべての監査ポリシーを無効にする

組み込みのセキュリティ監査機能が原因であるかどうかを確認するには、一時的にすべての監査ポリシーをクリアして、無効にすることができます。

管理者特権のコマンドプロンプトを開きます。
次のコマンドを実行して、監査ポリシーのバックアップを作成します。
```
auditpol /backup /file:"%userprofile%\Desktop\auditpol.bak" 
```
ファイルが正しく保存されたことを確認します。デスクトップに配置する必要があります。そうでない場合は、別のファイルパスを選択して再試行してください。
すべての監査ポリシーを無効にします。
```
auditpol /clear 
```
Windowsを再起動し、同じイベントが引き続き発生するかどうかを確認します。以前に作成したポリシーバックアップを復元するには、次のコマンドを実行します。
```
auditpol /restore /file:"%userprofile%\Desktop\auditpol.bak" 
```

参考文献

DLF · Answer

Windows 10、「情報」メッセージ：イベントID 4947、「アカウントの空のパスワードの存在を照会しようとしました。」システム、イベントビューアに表示されるようになりました...心配でした。突然、このメッセージが表示される理由を確認するためのトラブルシューティング。 UACの「権限」は非常に制限されていたので、Appsへのアクセスを許可したことを思い出しました。

逆転し、「アカウントの空のパスワードの存在を照会する試みが行われた」ことに悩まされなくなりました。

自分への注意：壊れたものを％^＃$ @ $持ってはいけません！

逆転し、「アカウントの空のパスワードの存在を照会する試みが行われた」ことに悩まされなくなりました。

自分への注意：壊れたものを％^＃$ @ $持ってはいけません！