ピッシーのメモ帳

気になった情報の保管庫

セキュリティログのエラーでサインインできない問題の対処

Windows サーバ

Windows11で標準ユーザーとしてサインインする際、「セキュリティ ログがいっぱいです」と表示されサインインできなくなっていた。

イベントビューアを確認すると、確かにセキュリティログのサイズが最大値になっていた。

最大値に達したときの動作が「イベントを上書きしない」になっている。どうやらこの設定のためセキュリティログが新たに記録できないので、エラーが出ていた模様。

なので、「必要に応じてイベントを上書きする」を選択しOKを押した。

設定変更後、標準ユーザーでサインインできるようになったことを確認した。

問題再発

再起動するとまた標準ユーザーでサインインできなくなっていた。

再度イベントビューアのセキュリティログを確認すると、なぜか最大値に達したときの動作が「イベントを上書きしない」に戻っていた。

この動作が複数のWindows11パソコンで発生していたが、ネット上で調べてもあまり情報が出てこない。そのため、今のところWindows11のバグなのかどうかがよく分かっていない。

変なポリシーでも入っているのか?と思ってグループポリシーの設定を確認したが、ログに関する設定は特にしていなかった。

以下の環境で問題が発生。

  • クライアントOS:Windows11 Pro バージョン22H2
  • サーバOS:Windows Server 2019 Standard
  • ActiveDirectoryを使用
  • 高速スタートアップは無効化済み

対処

ActiveDirectoryのグループポリシーでセキュリティログの保存方法を指定できる。

グループポリシー管理エディターを開き、「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「イベントログ」→「セキュリティログの保存方法」を「必要に応じてイベントを上書きする」に変更する。

変更すると、ポリシー設定が「未定義」から「必要時」に変わる。

変更後、数回クライアントPCを再起動してエラーが出ないことを確認した。

補足

警告文の意味

先ほどの設定画面で、以下のような警告文が表示されていた。

この設定を変更すると、クライアント、サービスおよびアプリケーションとの互換性に影響する可能性があります。

以下、警告文に表示されていたリンク先。

support.microsoft.com

以下、リンク先本文より引用。

監査: セキュリティ監査をログに記録できない場合は、すぐにシステムをシャットダウンする

危険な構成

有害な構成設定を次に示します。[監査: セキュリティ監査をログに記録できない場合はシステムを直ちにシャットダウンする] 設定がオンになっており、セキュリティ イベント ログのサイズは、[イベントを上書きしない (ログを手動でクリア)] オプション、必要に応じてイベントを上書きするオプション、またはイベント ビューアーの [日数より前のイベントの上書き] オプションによって制約されます。 Windows 2000、Windows 2000 Service Pack 1 (SP1)、Windows 2000 SP2、または Windows 2000 SP3 の元のリリース バージョンを実行しているコンピューターの特定のリスクについては、「互換性の問題の例」セクションを参照してください。

「セキュリティ監査をログに記録できない場合はシステムを直ちにシャットダウンする」という設定項目があり、それと組み合わせるとまずいらしい。

聞いたことがない設定だったので調べてみると、以下のリンクに解説があった。

learn.microsoft.com

以下、リンク先本文より引用。

潜在的な影響

このポリシー設定を有効にすると、管理上の負担が大きくなる可能性があります。特に、 セキュリティ ログの保持方法 を [ イベントを上書きしない ] (手動でログをクリア) するように構成した場合は特に重要です。 この構成により、否認の脅威 (バックアップオペレーターがデータのバックアップまたは復元を拒否する可能性があります) がサービス拒否 (DoS) の脆弱性になります。これは、サーバーがサインイン イベントやセキュリティ イベント ログに書き込まれるその他のセキュリティ イベントで圧倒された場合に強制的にシャットダウンされる可能性があるためです。 また、シャットダウンが急激であるため、オペレーティング システム、アプリケーション、またはデータに回復不可能な損傷が発生する可能性があります。 NTFS ファイル システムは、この種類のコンピューターのシャットダウンが発生しても整合性を維持しますが、デバイスの再起動時にすべてのアプリケーションのすべてのデータ ファイルが使用可能な形式になることは保証されません。

つまり、「セキュリティ監査をログに記録できない場合は~」と「イベントを上書きしない (ログを手動でクリア)」が両方とも有効になっている場合、コンピュータが使えなくなる危険性があるということ。そもそも「セキュリティ監査をログに記録できない場合は~」を有効にする場面が思いつかないのだが…。

おわりに

今のところ、この問題はWindows11でしか発生していない。Windows10とはこのあたりの動作が微妙に異なるのだろうか…。