セキュリティ監査ポリシーの詳細設定
公開日: 2016年8月
対象: Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8
この参照には、IT プロフェッショナルは、Windows オペレーティング システムで利用できる高度な監査ポリシーの設定および生成するイベントの監査に関する情報を提供します。
53 セキュリティ監査ポリシーの設定 [ \ 監査ポリシーの構成のセキュリティ など、正確に定義されているアクティビティを追跡することによってビジネスとセキュリティ関連の重要な規則に準拠の監査、組織を支援することができます。
グループ管理者が設定または財務情報が含まれているサーバー上のデータに変更します。
定義されたグループ内の従業員へのアクセスが重要なファイルです。
システムの正しいアクセス制御リスト (SACL) は、検出されないアクセスに対する検証可能な保護手段として、コンピューターまたはファイル共有上のすべてのファイルとフォルダー、またはレジストリ キーに適用されます。
これらの監査ポリシー設定は、ローカル セキュリティ ポリシー スナップイン (secpol.msc) またはグループ ポリシーを使用して、ローカル コンピューターからアクセスできます。
これらの高度な監査ポリシー設定を使用すると、監視対象の動作のみを選択できます。 ほとんどまたはまったくない問題になる動作やログ エントリの数が多すぎるを作成する動作の監査の結果を除外できます。 さらに、セキュリティ監査ポリシーを適用するには、ドメイン グループ ポリシー オブジェクトを使用、ため監査ポリシーの設定ことができます、変更、テスト、およびを展開し、選択したユーザーおよびグループを比較的単純な。
高度なセキュリティ監査ポリシーの設定を構成するで指定されているように、Windows オペレーティング システムのサポートされているバージョンを実行しているコンピューターにイベントが表示されます。、 対象 さらには Windows Server 2008 と Windows Vista に、このトピックの冒頭に一覧表示します。
監査ポリシーの設定 [ セキュリティ \ 監査ポリシーの構成 は、次のカテゴリで使用できます。
アカウントのログオン
このカテゴリのポリシー設定を構成することができますドキュメントは、ドメイン コント ローラーまたは [ローカル セキュリティ アカウント マネージャー (SAM) アカウント データを認証しようとしています。 ログオンおよびログオフのポリシー設定やイベントは、どの追跡では、特定のコンピューターにアクセスしようとして、設定とこのカテゴリのイベントが使用されるアカウント データベースに注目します。 このカテゴリには、次のサブカテゴリが含まれています。
アカウント管理
セキュリティ監査するこのカテゴリの設定は、ユーザーとコンピューター アカウントおよびグループに対する変更を監視するために使用できます。 このカテゴリには、次のサブカテゴリが含まれています。
詳細な追跡
個々 のアプリケーションと、そのコンピューター上のユーザーのアクティビティを監視して、コンピューターの使用方法を理解するのには、監査イベントの詳細な追跡のセキュリティ ポリシー設定を使用できます。 このカテゴリには、次のサブカテゴリが含まれています。
DS アクセス
DS アクセスのセキュリティ監査ポリシーの設定は、アクセスし、Active Directory ドメイン サービス (AD DS) 内のオブジェクトの変更を試行する詳細な監査証跡を提供します。 これらの監査イベントは、ドメイン コント ローラーにのみ記録されます。 このカテゴリには、次のサブカテゴリが含まれています。
ログオン/ログオフ
監査イベントをログオン/ログオフのセキュリティ ポリシー設定を使用すると、対話的にまたはネットワーク経由でコンピューターにログオンする試行回数を追跡できます。 これらのイベントは、ユーザーの利用状況を追跡およびネットワーク リソースへの攻撃を識別するために特に役立ちます。 このカテゴリには、次のサブカテゴリが含まれています。
オブジェクトへのアクセス
監査イベントをオブジェクト アクセス ポリシーの設定を使用すると、特定のオブジェクトまたは型のネットワークまたはコンピューター上のオブジェクトにアクセスする試行回数を追跡できます。 ファイル、ディレクトリ、レジストリ キーまたはその他のオブジェクトのアクセス試行を監査するには、成功/失敗のイベントを適切なオブジェクトへのアクセスの監査サブカテゴリを有効にする必要があります。 たとえば、ファイル システムのサブカテゴリは、ファイル操作を監査を有効にする必要があり、レジストリ サブカテゴリがレジストリ アクセスの監査を有効にする必要があります。
これらの監査ポリシーを使用して証明は有効にして、外部の監査担当者はより困難です。 継承されたすべてのオブジェクトに対する適切な Sacl が設定されていることを確認する簡単な方法はありません。 この問題を回避するには、「 No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'.します。
このカテゴリには、次のサブカテゴリが含まれています。
ポリシーの変更
ポリシー変更の監査イベントを使用すると、ローカル システムまたはネットワーク上の重要なセキュリティ ポリシーに変更を追跡できます。 ポリシーは通常、セキュリティで保護されたネットワーク リソースを管理する管理者によって確立、のでは、変更、またはこれらのポリシーの変更を試行の監視とネットワークのセキュリティ管理の重要な側面を設定できます。 このカテゴリには、次のサブカテゴリが含まれています。
特権の使用
定義済みのタスクを完了するには、ユーザーまたはコンピューターのネットワーク上のアクセス許可が付与されています。 監査イベントをセキュリティ ポリシー設定を使用する特権を使用すると、1 つまたは複数のシステムで特定のアクセス許可の使用を追跡できます。 このカテゴリには、次のサブカテゴリが含まれています。
システム
監査イベントをシステムのセキュリティ ポリシー設定を使用すると、他のカテゴリに含まれていないし、潜在的なセキュリティに影響があるコンピューターにシステム レベルの変更を追跡できます。 このカテゴリには、次のサブカテゴリが含まれています。
グローバル オブジェクト アクセス
グローバル オブジェクト アクセスの監査ポリシーの設定を使用すると、コンピューター システム アクセス制御リスト (Sacl) オブジェクトの種類のファイル システムまたはレジストリの単位を定義できます。 SACL は、指定した型のすべてのオブジェクトに自動的に適用されます。
監査担当者は、システムのすべてのリソースが、グローバル オブジェクト アクセスの監査ポリシーの設定の内容を表示することによって、監査ポリシーによって保護されていることを証明することができます。 たとえば、監査ポリシー設定が「グループの管理者によって行われたすべての変更の追跡」と呼ばれる場合が分かっているこのポリシーが有効にします。
リソースの Sacl も診断シナリオに役立ちます。 など、グローバル オブジェクト アクセスの監査を設定、ファイル システムまたはレジストリの「アクセスが拒否されました」のイベントを追跡するは特定のユーザーと、ポリシーを有効化のすべてのアクティビティ ログをポリシーの管理者が、システムでは、どのオブジェクトがユーザーのアクセスを拒否することをすばやく識別ヘルプことができます。
注意
ファイルまたはフォルダー SACL とグローバル オブジェクト アクセスの監査ポリシーの設定 (または 1 つのレジストリ SACL とグローバル オブジェクト アクセスの監査ポリシーの設定の設定) がコンピューターで構成されている場合、効果的な SACL は、ファイルまたはフォルダー SACL とグローバル オブジェクト アクセスの監査ポリシーの組み合わせから派生します。 これは、アクティビティは、ファイルやフォルダー SACL またはグローバル オブジェクト アクセスの監査ポリシーと一致する場合、監査イベントが生成されることを意味します。
このカテゴリには、次のサブカテゴリが含まれています。