ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

CVE-2020-1472 に関連する Windows イベント ログ エラー 5827 5828

CVE-2020-1472 に関連する Windows イベント ログ エラー 5827 5828に関する情報です。

 

おそらくすでにKBを適用した方もいると思いますが、まだ洗い出しを行っている場合は、イベントログをチェックすることがあると思いますので、その情報です。

 

情報元はこちら

CVE-2020-1472 に関連する Netlogon のセキュリティで保護されたチャネルの接続の変更を管理する方法

 

 

イベントには 3 つのカテゴリがあります。

1.脆弱な Netlogon セキュア チャネル接続が試行されたために接続が拒否されたときにログに記録されるイベント:

5827 (マシン アカウント) エラー

5828 (信頼アカウント) エラー

 

2.アカウントがドメイン コントローラーに追加されたために接続が許可されたときにログに記録されたイベント「:脆弱な Netlogon セキュア チャネル接続を許可する」グループ ポリシー:

5830 (マシン アカウント) 警告

5831 (信頼アカウント) 警告

3.DC 強制モードで拒否される最初のリリースで接続が許可されたときにログに記録されるイベント:

5829 (マシン アカウント) 警告

 

 

イベント ID 5827
マシン アカウントからの脆弱な Netlogon のセキュリティで保護されたチャネルの接続が拒否されると、イベント ID 5827 がログに記録されます。

イベントログ システム

イベント ソース Netlogon

イベント ID 5827

レベル エラー

イベント メッセージ テキスト

Netlogon サービスは、マシン アカウントからの脆弱な Netlogon セキュア チャネル接続を拒否しました。

マシン SamAccountName:

ドメイン:

アカウントの種類:

マシンのオペレーティング システム:

マシンのオペレーティング システムのビルド:

マシンオのペレーティング システム サービス パック:

これが拒否された理由の詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。

 

イベント ID 5828
信頼アカウントからの脆弱な Netlogon のセキュリティで保護されたチャネルの接続が拒否されると、イベント ID 5828 がログに記録されます。

イベントログ システム

イベント ソース Netlogon

イベント ID 5828

レベル エラー

イベント メッセージ テキスト

Netlogon サービスは、信頼アカウントを使用した脆弱な Netlogon セキュア チャネル接続を拒否しました。

アカウントの種類:

信頼名:

信頼ターゲット:

クライアント IP アドレス:

これが拒否された理由の詳細については、https://go.microsoft.com/fwlink/?linkid=2133485 を参照してください。

 

その他警告もでますが、これで洗い出しをして許可する接続をGPOで設定することになると思います。