Microsoft Windows 2000 セキュリティ構成ガイド
付録 B ‐ 監査カテゴリとイベント
最終更新日: 2003年2月18日
監査のためのセキュリティ ターゲットの遵守マトリックス
コンポーネント | イベント | 監査イベント | 必要な設定 | |
---|---|---|---|---|
S | F | |||
FAU\_GEN.1 | 監査機能のスタートアップとシャットダウン | **カテゴリ: ポリシーの変更** 612 – 監査ポリシーの変更 (任意の監査カテゴリに関して監査が有効または無効にされたときに、このイベントが生成されます。監査の変更の一覧がイベント ログに表示されます。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FAU\_GEN.2 | なし | |||
FAU\_SAR.1 | 監査レコードからの情報の読み取り | **カテゴリ: 特権の使用** 578 – 特権オブジェクト操作 (セキュリティ イベント ログへのアクセス。SeSecurityPrivilege は正常終了するはずです。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FAU\_SAR.2 | 監査レコードからの情報の読み取りの試みが不成功 | **カテゴリ: 特権の使用** 578 – 特権オブジェクト操作 (SeSecurityPrivilege は異常終了するはずです。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FAU\_SAR.3 | なし | |||
FAU\_SEL.1 | 監査コレクション機能が働いている間に発生した、監査構成に対するすべての修正 | **カテゴリ: ポリシーの変更** 612 – 監査ポリシーの変更 (監査の変更の一覧がイベント ログに表示されます。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FAU\_STG.1 | なし | |||
FAU\_STG.3 | しきい値を超過したために取られた措置 | **カテゴリ: システム** 516 – 監査メッセージをキューに登録するために割り当てられた内部リソースをすべて使用したため、一部の監査が失われました。 517 – 監査ログが消去されました。 (あらかじめ定義されている監査のしきい値をシステムが超過したために、権限のある管理者によって取られたイベント ログの消去措置をレビューします。) 523 – 監査ログ ファイルが "x" % に達しました。 **注意:** 上記のイベントは SP3 の場合にのみ生成されます。 (監査レコードを減らしても良いと管理者が判断するパーセントに値を設定します。) (HKEY\_LOCAL\_MACHINE\\SYSTEM\\CurrentControlSet \\Services\\Eventlog\\Security\\WarningLevel) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FAU\_STG.4 | 監査記憶域に障害が発生したために取られた措置 | 517 – 監査ログが消去されました。 (あらかじめ定義されている監査のしきい値をシステムが超過したために、権限のある管理者によって取られたイベント ログの消去措置をレビューします。) | ||
FDP\_ACC.1(a) | なし | |||
FDP\_ACF.1(a) | SFP の対象となっているオブジェクトを操作しようとするすべての要求 | **カテゴリ: オブジェクト アクセス** 563 – 削除のために開かれているオブジェクト 564 – 削除されたオブジェクト 565 – オブジェクトのオープン 566 – オブジェクトの操作 **カテゴリ: プロセスの追跡** 594 – オブジェクトへのハンドルの複製 595 – オブジェクトへの間接アクセスの取得 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FDP\_RIP.2 | なし | |||
FDP\_RIP.2. Note 1 | なし | |||
FIA\_ATD.1 | なし | |||
FIA\_SOS.1 | テスト済みの任意の TSF による拒否または受け入れ | **カテゴリ: ログオン** 528 – ログオンの成功 529 – ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。 535 – ログオン失敗: 指定されたアカウント パスワードの有効期間が切れています。 540 – ネットワーク ログオンの成功 545 – IPSec ピアの認証に失敗しました。 **カテゴリ: アカウント ログオン** 680 – ログオンに使用されたアカウント 681 – ワークステーション <ワークステーション> からの <ソース> によるアカウント <クライアント名> のログオンに失敗しました。エラー コードは <エラー> です。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FIA\_UAU.7 | なし | |||
FIA\_USB.1 | ユーザーのセキュリティ属性をサブジェクトにバインドするのに成功または失敗 (例: サブジェクトの作成に成功または失敗) | **カテゴリ: プロセスの追跡** 592 – 新しいプロセスの作成 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FMT\_MSA.1(a) | オブジェクトのセキュリティ属性の値に関するすべての修正 | **カテゴリ: オブジェクト アクセス** 560 – オブジェクトのオープン (「説明: アクセス」の下に AppendData、ReadAttributes、WriteAttributes の3 つのエントリが必要です。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FMT\_MSA.3(a) | 許容的規則または制限的規則の既定の設定の修正。セキュリティ属性の初期値のすべての修正。 | **カテゴリ: オブジェクト アクセス** 560 – オブジェクトのオープン | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FMT\_MTD.1(a) CAPP – 5.4.3 | TSF データの値に対するすべての修正 (監査ログの作成、削除、およびクリア) | **カテゴリ: システム** 517 – 監査ログが消去されました。 **カテゴリ: オブジェクト アクセス** (セキュリティ ログ ファイルに監査が設定されている場合、これらのイベントにより、セキュリティ ログ ファイルの直接削除をログに記録することができます。) 563 – 削除のために開かれているオブジェクト 564 – 削除されたオブジェクト **カテゴリ: 特権の使用** 578 – 特権オブジェクト操作 (SeSecurityPrivilege を使用したものとして示され、実際の変更はイベント 612 に注記されます。) **カテゴリ: ポリシーの変更** 612 – 監査ポリシーの変更 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FMT\_MTD.1(b) CAPP – 5.4.4 | TSF データの値に対するすべての修正 (監査ログの修正 - TSF データの新しい値を含みます) | **カテゴリ: ポリシーの変更** 612 – 監査ポリシーの変更 | ||
FMT\_MTD.1(c) CAPP – 5.4.5 | TSF データの値に対するすべての修正 (ユーザーのセキュリティ属性 - TSF データの新しい値を含みます) | **カテゴリ: ポリシーの変更** 608 – ユーザー権利の割り当て 609 – ユーザー権利の削除 **カテゴリ: アカウント管理** 624 – ユーザー アカウントの作成 625 – ユーザー アカウントの種類の変更 626 – ユーザー アカウントの有効化 629 – ユーザー アカウントの無効化 630 – ユーザー アカウントの削除 631 – セキュリティが有効なグローバル グループの作成 632 – セキュリティが有効なグローバル グループ メンバが追加されました。 633 – セキュリティが有効なグローバル グループ メンバが削除されました。 634 – セキュリティが有効なグローバル グループが削除されました。 635 – セキュリティが有効なローカル グループの作成 636 – セキュリティが有効なローカル グループ メンバが追加されました。 637 – セキュリティが有効なローカル グループ メンバが削除されました。 638 – セキュリティが有効なローカル グループが削除されました。 639 – セキュリティが有効なローカル グループが変更されました。 641 – セキュリティが有効なグローバル グループが変更されました。 642 – ユーザー アカウントの変更 644 – ユーザー アカウントのロック 648 – セキュリティが無効なローカル グループが作成されました。 649 – セキュリティが無効なローカル グループが変更されました。 650 – セキュリティが無効なローカル グループ メンバが追加されました。 651 – セキュリティが無効なローカル グループ メンバが削除されました。 652 – セキュリティが無効なローカル グループが削除されました。 653 – セキュリティが無効なグローバル グループの作成 654 – セキュリティが無効なグローバル グループが変更されました。 655 – セキュリティが無効なグローバル グループ メンバが追加されました。 656 – セキュリティが無効なグローバル グループ メンバが削除されました。 657 – セキュリティが無効なグローバル グループが削除されました。 658 – セキュリティが有効なユニバーサル グループの作成 659 – セキュリティが有効なユニバーサル グループが変更されました。 660 – セキュリティが有効なユニバーサル グループ メンバが追加されました。 661 – セキュリティが有効なユニバーサル グループ メンバが削除されました。 662 – セキュリティが有効なユニバーサル グループが削除されました。 663 – セキュリティが無効なユニバーサル グループの作成 664 – セキュリティが無効なユニバーサル グループが変更されました。 665 – セキュリティが無効なユニバーサル グループ メンバが追加されました。 666 – セキュリティが無効なユニバーサル グループ メンバが削除されました。 667 – セキュリティが無効なユニバーサル グループが削除されました。 668 – グループの種類が変更されました。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FMT\_MTD.1(d) CAPP- 5.4.6 | TSF データ (認証データ) の値に対するすべての修正 | **カテゴリ: アカウント管理** 627 – パスワード変更の試行 628 – ユーザー アカウント パスワードの設定 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FMT\_REV.1(a) CAPP – 5.4.7 | セキュリティ属性 (ユーザー属性) を失効させるすべての試み | **カテゴリ: ポリシーの変更** 609 – ユーザー権利の削除 **カテゴリ: アカウント管理** 629 – ユーザー アカウントの無効化 644 – ユーザー アカウントのロック | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
FMT\_REV.1(b) CAPP – 5.4.8 | TSF データ (オブジェクト属性) の値に対するすべての修正 | (See FMT\_MSA.1a) | ||
FMT\_SMR.1 | 役割の一部を担うユーザーのグループに対する修正 役割の権利のすべての行使 (追加/ 詳細) | **カテゴリ: 特権の使用** 578 – 特権オブジェクト操作 **カテゴリ: アカウント管理** 632 – セキュリティが有効なグローバル グループ メンバが追加されました。 633 – セキュリティが有効なグローバル グループ メンバが削除されました。 634 – セキュリティが有効なグローバル グループが削除されました。 636 – セキュリティが有効なローカル グループ メンバが追加されました。 637 – セキュリティが有効なローカル グループ メンバが削除されました。 638 – セキュリティが有効なローカル グループが削除されました。 639 – セキュリティが有効なローカル グループが変更されました。 640 – 全般アカウント データベースの変更 641 – セキュリティが有効なグローバル グループが変更されました。 648 – セキュリティが無効なローカル グループが作成されました。 649 – セキュリティが無効なローカル グループが変更されました 650 – セキュリティが無効なローカル グループ メンバが追加されました。 652 – セキュリティが無効なローカル グループが削除されました。 654 – セキュリティが無効なグローバル グループが変更されました。 655 – セキュリティが無効なグローバル グループ メンバが追加されました。 656 – セキュリティが無効なグローバル グループ メンバが削除されました。 657 – セキュリティが無効なグローバル グループが削除されました。 659 – セキュリティが有効なユニバーサル グループが変更されました。 660 – セキュリティが有効なユニバーサル グループ メンバが追加されました。 661 – セキュリティが有効なユニバーサル グループ メンバが削除されました。 662 – セキュリティが有効なユニバーサル グループが削除されました。 664 – セキュリティが無効なユニバーサル グループが変更されました。 665 – セキュリティが無効なユニバーサル グループ メンバが追加されました。 666 – セキュリティが無効なユニバーサル グループ メンバが削除されました。 668 – グループの種類が変更されました。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FPT\_AMT.1 | 基礎となっているコンピュータのテストの実行とその結果 | 利用不可 | ||
FPT\_RVM.1 | なし | |||
FPT\_SEP.1 | なし | |||
FPT\_STM.1 | 時刻の変更 | **カテゴリ: 特権の使用** 577 – 特権サービスの呼び出し (SeSystemTimePrivilege の使用として示されます。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FIA\_AFL.1 | ログオン失敗 (あらかじめ定義されているしきい値に合致したため、アカウントを無効化) | **カテゴリ: ログオン** 529 – ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。 (ロックアウトにつながります。) **カテゴリ: アカウント管理** 642 – ユーザー アカウントの変更 – アカウントはロックされました。 644 – ユーザー アカウントのロック | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FIA\_UAU.2 | 認証機構の使用 | **カテゴリ: ログオン** 528 – ログオンの成功 529 – ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。 540 – ネットワーク ログオンの成功 **カテゴリ: アカウント ログオン** 680 – ログオンに使用されたアカウント 681 – ワークステーション <ワークステーション> からの <ソース> によるアカウント <クライアント名> のログオンに失敗しました。エラー コードは <エラー> です。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FIA\_UID.2 | ユーザー認証機構のすべての使用 (成功したときに提示された識別情報を含みます) | **カテゴリ: ログオン** 528 – ログオンの成功 529 – ログオン失敗: ユーザー名を認識できないか、またはパスワードが間違っています。 535 – ログオン失敗: 指定されたアカウント パスワードの有効期間が切れています。 540 – ネットワーク ログオンの成功 545 – IPSec ピアの認証に失敗しました。 **カテゴリ: アカウント ログオン** 625 – 事前認証の失敗 681 – ワークステーション <ワークステーション> からの <ソース> によるアカウント <クライアント名> のログオンに失敗しました。エラー コードは <エラー> です。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FMT\_MOF.1(a) | 監査ポリシーの変更 | **カテゴリ: 特権の使用** 578 – 特権オブジェクト操作 (SeSecurityPrivilege の使用として示されます。) **カテゴリ: ポリシーの変更** 612 – 監査ポリシーの変更 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FMT\_MTD.1(g) | TSF 時刻を変更するための権限のある管理者特権の使用の試み | **カテゴリ: 特権の使用** 577 – 特権サービスの呼び出し (SeSystemTimePrivilege の使用として示されます。) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | |
TRANSFER\_PROT\_EX | IPSEC 関連のイベント | **カテゴリ: ログオン** 541 – IPSec セキュリティ アソシエーションが確立されました。 542 – IPSec セキュリティ アソシエーションが終了しました。モード: データ保護 (クイック モード) 543 – IPSec セキュリティ アソシエーションが終了しました。モード: キー交換 (メイン モード) 544 – ピアが認証されなかったため、IPSec セキュリティ アソシエーションの確立に失敗しました。 545 – IPSec ピアの認証に失敗しました。 546 – ピアが無効な提案を送信したため、IPSec セキュリティ アソシエーションの確立に失敗しました。 547 – IPSec セキュリティ アソシエーションのネゴシエーションに失敗しました。 **カテゴリ: ポリシーの変更** 613 – IPSec ポリシー エージェントを開始しました。 614 – IPSec ポリシーが変更されました。 615 – IPSec ポリシー エージェントで、重大である可能性のある障害がありました。 616 – IPSec ポリシー エージェントで、重大である可能性のある障害がありました。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FTA\_SSL1 | ロックを解除する試み | **カテゴリ: ログオン** 528 – ログオンの成功 (エントリ 6 のロックを解除) 529 – ログオン失敗 (エントリ 6 のロックを解除) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FTA\_SSL.2 | ロックを解除する試み | **カテゴリ: ログオン** 528 – ログオンの成功 (エントリ 6 のロックを解除) 529 – ログオン失敗 (エントリ 6 のロックを解除) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
FTA\_TSE.1 | ログオン失敗 | **カテゴリ: ログオン** 535 – ログオン失敗: 指定されたアカウント パスワードの有効期間が切れています。 | ![](images/Dd277459.check(ja-jp,TechNet.10).gif) |
目次
- 第 1 章 ‐ ハードウェアおよびソフトウェアの環境
- 第 2 章 ‐ オペレーティング システムのインストール
- 第 3 章 ‐ セキュリティで保護された構成
- 第 4 章 ‐ Windows 2000 Common Criteria (共通基準) セキュリティ構成テンプレート
- 参考資料
- 付録 A ‐ Windows 2000 既定のセキュリティ ポリシーの設定
- 付録 B ‐ 監査カテゴリとイベント
- 付録 C ‐ ユーザー権利と特権
- 付録 D ‐ ユーザー アカウントとグループ アカウント
- 付録 E ‐ 評価された構成のための Windows 2000 セキュリティ構成チェック リスト
- 付録 F ‐ 評価された構成のための Windows 2000 セキュリティ構成テンプレート