セキュリティ監査の新機能
セキュリティ監査は、システムの整合性の維持に使える最も強力なツールの 1 つです。総合的なセキュリティ戦略の一環として、環境に適した監査のレベルを決める必要があります。監査では、ネットワークに脅威を与える攻撃 (成功/失敗) と、リスクを評価する上で重要なリソースに対する攻撃を特定する必要があります。
Windows 10 バージョン 1511 の新機能
- WindowsSecurityAuditing および Reporting 構成サービス プロバイダーで、モバイル デバイスにセキュリティ監査ポリシーを追加できます。
Windows 10 の新機能
Windows 10 では、セキュリティ監査のいくつかの機能が強化されました。
- 新しい監査サブカテゴリ
- 既存の監査イベントに追加された詳細情報
新しい監査サブカテゴリ
Windows 10 では、"監査ポリシーの詳細な構成" に、2 つの新しい監査サブカテゴリが追加され、監査イベントをより細かく管理できます。
グループ メンバーシップの監査 "ログオン/ログオフ" 監査カテゴリにある "グループ メンバーシップの監査" サブカテゴリを使用すると、ユーザーのログオン トークン内のグループ メンバーシップ情報を監査できます。このサブカテゴリのイベントは、ログオン セッションが作成された PC 上で、グループのメンバーシップが列挙または照会されたときに生成されます。対話型ログオンの場合は、ユーザーがログオンしている PC でセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワーク ログオンの場合は、リソースをホストしている PC でセキュリティ監査イベントが生成されます。
この設定を構成すると、成功した各ログオンについて、1 つ以上のセキュリティ監査イベントが生成されます。監査ポリシーの詳細な構成\システム監査ポリシー\ログオン/ログオフにある [ログオンの監査] の設定も有効にする必要があります。グループ メンバーシップ情報を 1 つのセキュリティ監査イベントに格納できない場合は、複数のイベントが生成されます。
PNP アクティビティの監査 "詳細追跡" カテゴリにある "PNP アクティビティの監査" サブカテゴリを使用すると、プラグ アンド プレイによる外部デバイスの検出を監査できます。
このカテゴリでは、成功の監査のみが記録されます。 このポリシー設定を構成しない場合は、プラグ アンド プレイによって外部デバイスが検出されたときに監査イベントは生成されません。
PnP 監査イベントは、システム ハードウェアの変更を追跡するために使用でき、変更が行われた PC でログに記録されます。 イベントには、ハードウェア ベンダー ID の一覧が含まれます。
既存の監査イベントに追加された詳細情報
Windows 10 では、既存の監査イベントに詳細情報が追加され、完全な監査証跡をまとめて、お客様の会社を保護するために必要な情報を容易に準備できるようになりました。次の監査イベントが強化されました。
カーネルの既定の監査ポリシーの変更
LSASS.exe への既定のプロセスの SACL の追加
ログオン イベントの新しいフィールドの追加
プロセス作成イベントの新しいフィールドの追加
新しいセキュリティ アカウント マネージャー イベントの追加
新しい BCD イベントの追加
新しい PNP イベントの追加
カーネルの既定の監査ポリシーの変更
以前のリリースでは、カーネルはローカル セキュリティ機関 (LSA) に依存して、そのイベントのいくつかの情報を取得していました。Windows 10 では、実際の監査ポリシーを LSA から受け取るまで、プロセス作成イベントの監査ポリシーは自動的に有効になっています。これにより、LSA が開始する前に開始するサービスの監査が向上しています。
LSASS.exe への既定のプロセスの SACL の追加
Windows 10 では、既定のプロセスの SACL が LSASS.exe に追加され、LSASS.exe へのアクセスを試行するプロセスがログに記録されます。 SACL は L"S:(AU;SAFA;0x0010;;;WD)" です。これは、監査ポリシーの詳細な構成\オブジェクト アクセス\カーネル オブジェクトの監査で有効にすることができます。
これにより、プロセスのメモリからの資格情報を盗む攻撃を特定することができます。
ログオン イベントの新しいフィールド
ログオン イベント ID 4624 が更新され、分析を容易にするために、より詳細な情報が含まれるようになりました。 次のフィールドがイベント 4624 に追加されました。
MachineLogon 文字列: yes または no
PC にログオンしているアカウントがコンピューター アカウントである場合、このフィールドは yes になります。それ以外の場合、このフィールドは no です。
ElevatedToken 文字列: yes または no
PC にログオンしているアカウントが管理ログオンである場合、このフィールドは yes になります。それ以外の場合、このフィールドは no です。また、これが分割トークンの一部である場合、リンクされたログイン ID (LSAP_LOGON_SESSION) も表示されます。
TargetOutboundUserName 文字列
TargetOutboundUserDomain 文字列
送信トラフィック用に LogonUser メソッドによって作成された ID のユーザー名とドメイン。
VirtualAccount 文字列: yes または no
PC にログオンしているアカウントが仮想アカウントである場合、このフィールドは yes になります。それ以外の場合、このフィールドは no です。
GroupMembership 文字列
ユーザーのトークンに含まれるすべてのグループの一覧。
RestrictedAdminMode 文字列: yes または no
ユーザーがリモート デスクトップを使って制限付き管理モードで PC にログオンしている場合、このフィールドは yes になります。
制限付き管理モードについて詳しくは、RDP の制限付き管理モードに関するページをご覧ください。
プロセス作成イベントの新しいフィールド
ログオン イベント ID 4688 が更新され、分析を容易にするために、より詳細な情報が含まれるようになりました。 次のフィールドがイベント 4688 に追加されました。
TargetUserSid 文字列
対象プリンシパルの SID です。
TargetUserName 文字列
対象ユーザーのアカウント名。
TargetDomainName 文字列
対象ユーザーのドメイン。
TargetLogonId 文字列
対象ユーザーのログオン ID。
ParentProcessName 文字列
作成元プロセスの名前。
ParentProcessId 文字列
作成元プロセスと異なる場合、実際の親プロセスへのポインター。
新しいセキュリティ アカウント マネージャー イベント
Windows 10 では、読み取り/クエリ操作を実行する SAM API に対応するために、新しい SAM イベントが追加されました。以前のバージョンの Windows では、書き込み操作のみが監査の対象でした。新しいイベントは、イベント ID 4798 とイベント ID 4799 です。次の API がサポートされるようになりました。
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
新しい BCD イベント
ブート構成データベース (BCD) に対する以下の変更を追跡するために、イベント ID 4826 が追加されました。
- DEP/NEX 設定
- テスト署名
- PCAT SB シミュレーション。
- デバッグ
- ブート デバッグ
- 整合性サービス
- Winload デバッグ メニューの無効化
新しい PNP イベント
プラグ アンド プレイを通じて外部デバイスが検出されたことを追跡するために、イベント ID 6416 が追加されました。1 つの重要なシナリオは、ドメイン コントローラーなど、この種類の動作が予期されない重要度の高いコンピューターに、マルウェアを含む外部デバイスが挿入されたかどうかです。