イベント カテゴリに対する基本の監査ポリシーの作成

特定のイベント カテゴリの監査設定を定義すると、組織のセキュリティ ニーズに最適な監査ポリシーを作成することができます。ドメインに参加しているデバイスの場合、イベント カテゴリの監査設定は、既定では未定義です。ドメイン コント ローラーでは、監査は既定で有効になっています。

この手順を完了するには、組み込みの Administrators グループのメンバーとしてログオンしている必要があります。

ローカル コンピューターのイベント カテゴリの監査ポリシー設定を定義または変更するには

1. ローカル セキュリティ ポリシー スナップイン (secpol.msc) を開き、[ローカル ポリシー] をクリックします。
2. [監査ポリシー] をクリックします。
3. 結果ウィンドウで、監査ポリシーの設定を変更するイベント カテゴリをダブルクリックします。
4. 次のいずれかまたは両方の操作を行い、[OK] をクリックします。
   • 成功した試行を監査するには、[成功] チェック ボックスをオンにします。
   • 失敗した試行を監査するには、[失敗] チェック ボックスをオンにします。

この手順を完了するには、Domain Admin グループのメンバーとしてログオンしている必要があります。

ドメインに参加しているメンバー サーバーまたはワークステーション上で、ドメインまたは組織単位のイベント カテゴリの監査ポリシー設定を定義または変更するには

1. グループ ポリシー管理コンソール (GPMC) を開きます。
2. コンソール ツリーで、編集する [既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) が含まれているドメインの [グループ ポリシー オブジェクト] をダブルクリックします。
3. [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。
4. GPMC で、[コンピューターの構成]、[Windows の設定]、[セキュリティ設定] の順にクリックし、[監査ポリシー] をクリックします。
5. 結果ウィンドウで、監査ポリシーの設定を変更するイベント カテゴリをダブルクリックします。
6. このイベント カテゴリの監査ポリシーの設定を初めて定義する場合は、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
7. 次のいずれかまたは両方の操作を行い、[OK] をクリックします。
   • 成功した試行を監査するには、[成功] チェック ボックスをオンにします。
   • 失敗した試行を監査するには、[失敗] チェック ボックスをオンにします。

その他の考慮事項

• オブジェクトへのアクセスを監査するには、上の手順に従って、オブジェクト アクセス イベント カテゴリの監査を有効にします。次に、特定のオブジェクトの監査を有効にします。
• 監査ポリシーを構成すると、以降はイベントがセキュリティ ログに記録されます。セキュリティ ログを開き、これらのイベントを表示します。
• ドメイン コント ローラーの既定の監査ポリシー設定は、[監査しない] です。つまり、ドメインで監査が有効になっている場合でも、ドメイン コント ローラーは監査ポリシーをローカルに継承しません。ドメイン監査ポリシーをドメイン コント ローラーに適用する場合は、このポリシー設定を変更する必要があります。