セキュリティ監査ポリシーの詳細設定

公開日: 2016年8月

対象: Windows 7、Windows 8.1、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2012、Windows 8

この参照には、IT プロフェッショナルは、Windows オペレーティング システムで利用できる高度な監査ポリシーの設定および生成するイベントの監査に関する情報を提供します。

53 セキュリティ監査ポリシーの設定 [ \ 監査ポリシーの構成のセキュリティ など、正確に定義されているアクティビティを追跡することによってビジネスとセキュリティ関連の重要な規則に準拠の監査、組織を支援することができます。

• グループ管理者が設定または財務情報が含まれているサーバー上のデータに変更します。

• 定義されたグループ内の従業員へのアクセスが重要なファイルです。

• システムの正しいアクセス制御リスト (SACL) は、検出されないアクセスに対する検証可能な保護手段として、コンピューターまたはファイル共有上のすべてのファイルとフォルダー、またはレジストリ キーに適用されます。

これらの監査ポリシー設定は、ローカル セキュリティ ポリシー スナップイン (secpol.msc) またはグループ ポリシーを使用して、ローカル コンピューターからアクセスできます。

これらの高度な監査ポリシー設定を使用すると、監視対象の動作のみを選択できます。 ほとんどまたはまったくない問題になる動作やログ エントリの数が多すぎるを作成する動作の監査の結果を除外できます。 さらに、セキュリティ監査ポリシーを適用するには、ドメイン グループ ポリシー オブジェクトを使用、ため監査ポリシーの設定ことができます、変更、テスト、およびを展開し、選択したユーザーおよびグループを比較的単純な。

高度なセキュリティ監査ポリシーの設定を構成するで指定されているように、Windows オペレーティング システムのサポートされているバージョンを実行しているコンピューターにイベントが表示されます。、 対象 さらには Windows Server 2008 と Windows Vista に、このトピックの冒頭に一覧表示します。

監査ポリシーの設定 [ セキュリティ \ 監査ポリシーの構成 は、次のカテゴリで使用できます。

• アカウントのログオン

  このカテゴリのポリシー設定を構成することができますドキュメントは、ドメイン コント ローラーまたは [ローカル セキュリティ アカウント マネージャー (SAM) アカウント データを認証しようとしています。 ログオンおよびログオフのポリシー設定やイベントは、どの追跡では、特定のコンピューターにアクセスしようとして、設定とこのカテゴリのイベントが使用されるアカウント データベースに注目します。 このカテゴリには、次のサブカテゴリが含まれています。

  • 監査の資格情報の検証

  • Kerberos 認証サービスを監査します。

  • Kerberos サービス チケットの操作を監査します。

  • その他のログオンとログオフ イベントを監査します。

• アカウント管理

  セキュリティ監査するこのカテゴリの設定は、ユーザーとコンピューター アカウントおよびグループに対する変更を監視するために使用できます。 このカテゴリには、次のサブカテゴリが含まれています。

  • アプリケーション グループの監査の管理

  • コンピューター アカウントの管理を監査します。

  • 監査配布グループの管理

  • その他のアカウント管理イベントを監査します。

  • 監査セキュリティ グループの管理

  • ユーザー アカウント管理を監査します。

• 詳細な追跡

  個々 のアプリケーションと、そのコンピューター上のユーザーのアクティビティを監視して、コンピューターの使用方法を理解するのには、監査イベントの詳細な追跡のセキュリティ ポリシー設定を使用できます。 このカテゴリには、次のサブカテゴリが含まれています。

  • DPAPI のアクティビティを監査します。

  • プロセス作成の監査

  • 監査プロセスの終了

  • RPC イベントを監査します。

• DS アクセス

  DS アクセスのセキュリティ監査ポリシーの設定は、アクセスし、Active Directory ドメイン サービス (AD DS) 内のオブジェクトの変更を試行する詳細な監査証跡を提供します。 これらの監査イベントは、ドメイン コント ローラーにのみ記録されます。 このカテゴリには、次のサブカテゴリが含まれています。

  • 詳細なディレクトリ サービス レプリケーションを監査します。

  • ディレクトリ サービス アクセスを監査します。

  • ディレクトリ サービスの変更を監査します。

  • ディレクトリ サービス レプリケーションを監査します。

• ログオン/ログオフ

  監査イベントをログオン/ログオフのセキュリティ ポリシー設定を使用すると、対話的にまたはネットワーク経由でコンピューターにログオンする試行回数を追跡できます。 これらのイベントは、ユーザーの利用状況を追跡およびネットワーク リソースへの攻撃を識別するために特に役立ちます。 このカテゴリには、次のサブカテゴリが含まれています。

  • 監査アカウントのロックアウト

  • 監査の IPsec の拡張モード

  • 監査の IPsec メイン モード

  • 監査の IPsec クイック モード

  • 監査ログオフ

  • ログオンの監査

  • ネットワーク ポリシー サーバーの監査

  • その他のログオンとログオフ イベントを監査します。

  • 特殊なログオンの監査

• オブジェクトへのアクセス

  監査イベントをオブジェクト アクセス ポリシーの設定を使用すると、特定のオブジェクトまたは型のネットワークまたはコンピューター上のオブジェクトにアクセスする試行回数を追跡できます。 ファイル、ディレクトリ、レジストリ キーまたはその他のオブジェクトのアクセス試行を監査するには、成功/失敗のイベントを適切なオブジェクトへのアクセスの監査サブカテゴリを有効にする必要があります。 たとえば、ファイル システムのサブカテゴリは、ファイル操作を監査を有効にする必要があり、レジストリ サブカテゴリがレジストリ アクセスの監査を有効にする必要があります。

  これらの監査ポリシーを使用して証明は有効にして、外部の監査担当者はより困難です。 継承されたすべてのオブジェクトに対する適切な Sacl が設定されていることを確認する簡単な方法はありません。 この問題を回避するには、「 No text is specified for bookmark or legacy link '#BKMK_GlobalObjectAccess'.します。

  このカテゴリには、次のサブカテゴリが含まれています。

  • 生成されたアプリケーションを監査します。

  • 証明書サービスを監査します。

  • 監査の詳細なファイル共有

  • 監査ファイルの共有

  • ファイル システムの監査

  • プラットフォームの接続をフィルター処理の監査

  • 監査フィルタ リング プラットフォーム パケットのドロップ

  • 監査ハンドルの操作

  • カーネル オブジェクトの監査

  • その他のオブジェクト アクセス イベントを監査します。

  • レジストリの監査

  • SAM の監査

• ポリシーの変更

  ポリシー変更の監査イベントを使用すると、ローカル システムまたはネットワーク上の重要なセキュリティ ポリシーに変更を追跡できます。 ポリシーは通常、セキュリティで保護されたネットワーク リソースを管理する管理者によって確立、のでは、変更、またはこれらのポリシーの変更を試行の監視とネットワークのセキュリティ管理の重要な側面を設定できます。 このカテゴリには、次のサブカテゴリが含まれています。

  • 監査ポリシーの変更の監査

  • 認証ポリシーの変更の監査

  • 承認ポリシーの変更を監査します。

  • 監査ポリシーの変更はプラットフォームをフィルター処理

  • ルール レベル ポリシーの変更は MPSSVC を監査します。

  • その他のポリシーの変更イベントを監査します。

• 特権の使用

  定義済みのタスクを完了するには、ユーザーまたはコンピューターのネットワーク上のアクセス許可が付与されています。 監査イベントをセキュリティ ポリシー設定を使用する特権を使用すると、1 つまたは複数のシステムで特定のアクセス許可の使用を追跡できます。 このカテゴリには、次のサブカテゴリが含まれています。

  • 機密性が高くない特権使用を監査します。

  • 機密性の高い特権使用を監査します。

  • その他の特権を使用してイベントを監査します。

• システム

  監査イベントをシステムのセキュリティ ポリシー設定を使用すると、他のカテゴリに含まれていないし、潜在的なセキュリティに影響があるコンピューターにシステム レベルの変更を追跡できます。 このカテゴリには、次のサブカテゴリが含まれています。

  • 監査 IPsec ドライバー

  • その他のシステム イベントを監査します。

  • 監査セキュリティ状態の変更

  • システムのセキュリティ拡張機能を監査します。

  • システム整合性のある監査

• グローバル オブジェクト アクセス

  グローバル オブジェクト アクセスの監査ポリシーの設定を使用すると、コンピューター システム アクセス制御リスト (Sacl) オブジェクトの種類のファイル システムまたはレジストリの単位を定義できます。 SACL は、指定した型のすべてのオブジェクトに自動的に適用されます。

  監査担当者は、システムのすべてのリソースが、グローバル オブジェクト アクセスの監査ポリシーの設定の内容を表示することによって、監査ポリシーによって保護されていることを証明することができます。 たとえば、監査ポリシー設定が「グループの管理者によって行われたすべての変更の追跡」と呼ばれる場合が分かっているこのポリシーが有効にします。

  リソースの Sacl も診断シナリオに役立ちます。 など、グローバル オブジェクト アクセスの監査を設定、ファイル システムまたはレジストリの「アクセスが拒否されました」のイベントを追跡するは特定のユーザーと、ポリシーを有効化のすべてのアクティビティ ログをポリシーの管理者が、システムでは、どのオブジェクトがユーザーのアクセスを拒否することをすばやく識別ヘルプことができます。

  注意

  ファイルまたはフォルダー SACL とグローバル オブジェクト アクセスの監査ポリシーの設定 (または 1 つのレジストリ SACL とグローバル オブジェクト アクセスの監査ポリシーの設定の設定) がコンピューターで構成されている場合、効果的な SACL は、ファイルまたはフォルダー SACL とグローバル オブジェクト アクセスの監査ポリシーの組み合わせから派生します。 これは、アクティビティは、ファイルやフォルダー SACL またはグローバル オブジェクト アクセスの監査ポリシーと一致する場合、監査イベントが生成されることを意味します。

  このカテゴリには、次のサブカテゴリが含まれています。

  • ファイル システム (グローバル オブジェクト アクセスの監査)

  • レジストリ (グローバル オブジェクト アクセスの監査)