イベント カテゴリに対する基本の監査ポリシーの作成
特定のイベント カテゴリの監査設定を定義すると、組織のセキュリティ ニーズに最適な監査ポリシーを作成することができます。ドメインに参加しているデバイスの場合、イベント カテゴリの監査設定は、既定では未定義です。ドメイン コント ローラーでは、監査は既定で有効になっています。
この手順を完了するには、組み込みの Administrators グループのメンバーとしてログオンしている必要があります。
ローカル コンピューターのイベント カテゴリの監査ポリシー設定を定義または変更するには
- ローカル セキュリティ ポリシー スナップイン (secpol.msc) を開き、[ローカル ポリシー] をクリックします。
- [監査ポリシー] をクリックします。
- 結果ウィンドウで、監査ポリシーの設定を変更するイベント カテゴリをダブルクリックします。
- 次のいずれかまたは両方の操作を行い、[OK] をクリックします。
- 成功した試行を監査するには、[成功] チェック ボックスをオンにします。
- 失敗した試行を監査するには、[失敗] チェック ボックスをオンにします。
この手順を完了するには、Domain Admin グループのメンバーとしてログオンしている必要があります。
ドメインに参加しているメンバー サーバーまたはワークステーション上で、ドメインまたは組織単位のイベント カテゴリの監査ポリシー設定を定義または変更するには
- グループ ポリシー管理コンソール (GPMC) を開きます。
- コンソール ツリーで、編集する [既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) が含まれているドメインの [グループ ポリシー オブジェクト] をダブルクリックします。
- [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。
- GPMC で、[コンピューターの構成]、[Windows の設定]、[セキュリティ設定] の順にクリックし、[監査ポリシー] をクリックします。
- 結果ウィンドウで、監査ポリシーの設定を変更するイベント カテゴリをダブルクリックします。
- このイベント カテゴリの監査ポリシーの設定を初めて定義する場合は、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
- 次のいずれかまたは両方の操作を行い、[OK] をクリックします。
- 成功した試行を監査するには、[成功] チェック ボックスをオンにします。
- 失敗した試行を監査するには、[失敗] チェック ボックスをオンにします。
その他の考慮事項
- オブジェクトへのアクセスを監査するには、上の手順に従って、オブジェクト アクセス イベント カテゴリの監査を有効にします。次に、特定のオブジェクトの監査を有効にします。
- 監査ポリシーを構成すると、以降はイベントがセキュリティ ログに記録されます。セキュリティ ログを開き、これらのイベントを表示します。
- ドメイン コント ローラーの既定の監査ポリシー設定は、[監査しない] です。つまり、ドメインで監査が有効になっている場合でも、ドメイン コント ローラーは監査ポリシーをローカルに継承しません。ドメイン監査ポリシーをドメイン コント ローラーに適用する場合は、このポリシー設定を変更する必要があります。