システムログにguestという設定していないユーザが何度もログインしている

  • このトピックには11件の返信が含まれ、4人の参加者がいます。2018/10/2 at 16:56Quro quro さんが最後の更新を行いました。
12件の投稿を表示中 - 1 - 12件目 (全12件中)
  • 投稿者
    投稿
  • #1196
    OWCCnishi
    OWCCnishi
    参加者

    こんにちは。TS231Pを社内で使用しています。

    システムログにguestというユーザが何度もログインしている理由がわかりません。なにか知っている方がいれば教えていただけませんか。

    「送信元IP」はプライベートIPアドレスで,社内で接続している何台かのパソコンのIPアドレスになります。「コンピュータ名」も同じく社内で接続しているPCになります。「アクション」はすべてLoginOKになっています。

    外部の人間が社内PCを踏み台にして,NASにアクセスしているのでしょうか。よろしくお願いします。

    システムログ

    #1198
    Two0283
    two0283
    参加者

    こんにちは。

    お力になれるかわかりませんが、もう少し詳細を教えて下さい。

     

    1.GUESTユーザーでログインされている送信元IPのパソコンのOSはWindowsでしょうか、MACでしょうか、LINUXでしょうか。

    2.外部の人間が社内PCを踏み台にしているのであれば、送信元IPのパソコンにもほぼ同時刻にログが残っていると思うのですが、ログはどの様になっておりますか。

     

    お忙しいとは存じますが、ご回答お願い申し上げます。

    #1199
    OWCCnishi
    OWCCnishi
    参加者

    回答ありがとうございます。

    1.すべてのPCはWindows10と8です。

    2.PCのログは取得していませんでした。これから取得できるようにしたいと思います。

    もしよろしければ,two0283さんがPCのIPのログをどのようにとっているか教えて頂けませんか。

    #1204
    Two0283
    two0283
    参加者

    クライアント側OSは全てWindowsなのですね。

    それでしたら、ネットワークと共有センターの共有の詳細設定をご確認いただき、パスワード保護共有設定の状態をご確認下さい。

    無効になっていませんか?

    また、各クライアントの資格情報マネージャーにはQNAP側に作成されたユーザー情報が登録されていますでしょうか?

    参照URL:https://qiita.com/tukiyo3/items/ce181bef68f8bfac7b2f

     

    私はWindows純正のイベントビュアーとルーター備え付けのログ機能を確認しております。

    Windows10と8.1の場合、スタート→コンピュータの管理→イベントビュアーで進むと詳細を確認することが出来ます。

    そこで同時刻のアプリケーションログとシステムログを確認してみて下さい。

    ルーターはメーカーに寄って様々ですが、基本的にログを取るようになっているはずです。

    心当たりの無いWANIPからパケットの送信がないか確認してみて下さい。

    #1205
    OWCCnishi
    OWCCnishi
    参加者

    回答ありがとうございます。

     

    >>それでしたら、ネットワークと共有センターの共有の詳細設定をご確認いただき、パスワード保護共有設定の状態をご確認下さい。無効になっていませんか?

    「ネットワークと共有センターの共有」の「パスワード保護共有設定」の状態は有効になっていました。

     

    >>各クライアントの資格情報マネージャーにはQNAP側に作成されたユーザー情報が登録されていますでしょうか?

    資格情報マネージャーにユーザ情報は登録されていました。認証なしでエクスプローラーでNASに入ることができます。

     

    イベントビューアについて初めて知りました。ありがとうございます。

    こちらで使っている無線LANルータは古いものでIPのログ機能がありませんでした。これを機会に変更したいと思います。

    イベントビューアを確認しました。windowsログのApplicationとシステム,セキュリティを見たのですが,guestのログインに関するログはありませんでした。

    #1214
    Two0283
    two0283
    参加者

    ご回答有り難うございます。

    各クライアントにQNAPの接続情報が登録されており、認証なしでエクスプローラで表示できるのであれば、外部からリモート操作された場合にGUESTでログインされるのは考えにくいですね。

    一度、資格情報をリセットしてWindowsとQNAPに再度ご登録されては如何でしょうか。

    また、各クライアントにQNAPで作成したユーザーの接続情報が保存されているのであれば、いっその事QNAPの設定でGUESTをアクセス拒否してみては如何でしょうか。

     

    イベントビューアについて説明不足で申し訳ございません。

    ご確認頂く箇所はセキュリティの成功の監査です。

    詳細タブのIPアドレスをご確認いただき、怪しいものがないか調べてみて下さい。

     

    ログインに関するログを取るには

    グループポリシーでオブジェクトアクセスの監視をONにしてみて下さい。

     

    また、これを機にセキュリティ向上の為ご使用中のファイアウォールのポート設定をご確認してみるのも良いかもしれません。

     

    #1216
    OWCCnishi
    OWCCnishi
    参加者

    回答ありがとうございます。

    一度、資格情報をリセットしてWindowsとQNAPに再度ご登録されては如何でしょうか。
    >>何台かのPCで資格情報を削除して,再度登録したのですがguestでログインしていました。

    また、各クライアントにQNAPで作成したユーザーの接続情報が保存されているのであれば、いっその事QNAPの設定でGUESTをアクセス拒否してみては如何でしょうか。
    >>QNAP自体へのアクセス拒否という設定を見つけることができませんでした。以前からQNAPQTSで,コントロールパネル→権限設定→共有フォルダから,ゲストのアクセス拒否を設定はしています。なので,guestで入ってもデータにアクセスはできない状態ではあります。

    ご確認頂く箇所はセキュリティの成功の監査です。詳細タブのIPアドレスをご確認いただき、怪しいものがないか調べてみて下さい。
    >>成功の監査を見たのですが,正規のユーザのログイン情報が存在しますが,guestでのログインはありませんでした。
    guestのログインは法則性がなく,パソコンを起動したらすぐguestログインする場合と全くない場合があります。

    ログインに関するログを取るには,グループポリシーでオブジェクトアクセスの監視をONにしてみて下さい。
    >>グループポリシーというものを初めて知りました。当社はWindowsHomeなのでグループポリシーができないようです。一括管理できれば作業も楽になるので導入を検討します。ありがとうございます。

    また、これを機にセキュリティ向上の為ご使用中のファイアウォールのポート設定をご確認してみるのも良いかもしれません。
    >>アドバイスありがとうございます。勉強していきます。

    #1217
    Two0283
    two0283
    参加者

    ご確認有難うございます。

    PCを起動した際にGUESTのログインが行われることがある、とのことですが、もしかしてWindowsのログインユーザーがGUESTになっているなんてことはありませんよね?

    念の為、該当クライアントのコマンドプロンプトかPOWERSHELLでWHOAMIコマンド入力して確認してみて下さい。設定によってはUIに表示されているユーザー名とPC内部のユーザー名に相違があることがありますので、コマンドで確認することが重要です。

    また、QNAPをネットワークドライブに設定していましたら話は少し変わります。

     

    マニアックな情報になりますが、SAMBAのGUESTログインを遮断してQNAPへのアクセスを拒否する手段はあります。

    SSHかTELNETでQNAPへアクセスし、/mnt/HDA_ROOT/.config/smb.confの[global]のmap tp guestをNeverに変更して再起動すれば設定は可能なのですが、UNIXやLINUXを触った経験がないと難しいかもしれません。間違えてしまった場合はQTSの再インストールが必要になります。

    行われる際は必ずバックアップを取得し、作業して下さい。

    #1220
    OWCCnishi
    OWCCnishi
    参加者

    回答ありがとうございます。

    >>WindowsのログインユーザーがGUESTになっているなんてことはありませんよね?
    whoamiコマンドで確認しましたがGUESTにはなっていませんでした。

    >>QNAPをネットワークドライブに設定していましたら話は少し変わります。
    どのPCもネットワークドライブを設定していませんでした。

    >>SSHかTELNETでQNAPへアクセスし、/mnt/HDA_ROOT/.config/smb.confの[global]のmap tp guestをNeverに変更して再起動すれば設定は可能
    少しだけLinaxを触っていたのでsshでアクセスまではできました。ただバックアップ体制が整っていないので設定変更は断念しました。情報ありがとうございます。バックアップ体制が整ってから試そうと思います。

    #1534
    Rinrin013
    rinrin013
    参加者

    こんにちは、QNAP環境において、本件と全く同じ現象が発生していて、調べているうちにここに辿り着きました。

    本件について、既に原因が分かり、解決しておりますでしょうか??
    何かお分かりの事がございましたら教えていただきたくお願いします。

    私の環境下(TS459U)では、以下の事までは分かりました:
    ・「guest」と表示されている端末名から割り出すと、「guest」は全員QNAP上にアカウントがあるユーザーである
    ・共有フォルダのゲストのアクセス権は全て「アクセス拒否」に設定している
    ・QNAPのファームウェアを最新に更新しても同現象発生中
    ・オンラインユーザ画面にて「guest」と表示されているのを右クリックして「この接続の切断」を選択すると、「guest」ではなく本来のユーザー名の表示に直ぐ様変わる。暫くするとまた「guest」の表示に戻ったりする
    ・「guest」と表示されるのは、全てWindows10のPC利用ユーザーである
    ・PC側ではguestアカウントは無効にしており、全PCにおいて、QNAPへのアクセス用の資格情報はエンタープライズにて保存されている

    Windows10PCの共有設定?や資格情報等の設定の組み合わせによる?のか、、行き詰まっております。
    何か情報ございましたら共有いただけると大変助かります。
    どうぞ宜しくお願い致します。

    #1535
    OWCCnishi
    OWCCnishi
    参加者

    こんにちは。私の方でも解決には至っていません。
    tow0283さんより,
    >>SSHかTELNETでQNAPへアクセスし、/mnt/HDA_ROOT/.config/smb.confの[global]のmap tp guestをNeverに変更して再起動すれば設定は可能
    というアドバイスを頂いたのですが未だできていない状況です。

    #1573
    Quro
    quro
    参加者

    こんにちわ。

    大本の記事とは少し違うのですが、adminで接続しようとしているのに何故かguestで接続しようとして繋がらないという現象が起きています。

    私はTS451Aを2台を同じ設定で使用しており、違いはSSDとHDD。SSDの方に発生しています。

    NASやWindows10を再起動を繰り返したりしていると一時的に繋がるようにはなったりするのですが、時間経過でまたダメになります。

    NASの接続ログを見るとguestで接続しようとしているログが残っています。

    繋がるときはadminとguestの両方のログが残っています。

    一方Windows10ではこのとき「TCP/IP NetBIOS Helper」のプロセスが、CPU使用率10%ほどの負荷が発生してそのままずっと負荷がかかり続けます。

    おそらく名前解決で何らかの障害が起きていると思われるのですが、その原因が見つかりません。

    暫定的な対策として「C:\Windows\System32\drivers\etc」の「hosts」にNASの名前とIPを直接書き込むことで解決は出来ました。

    しかし根本的原因が不明で、わかれば教えていただきたいです。

12件の投稿を表示中 - 1 - 12件目 (全12件中)

このトピックに返信するにはログインが必要です。