セキュリティの監視および攻撃検出計画ガイド
付録 B - グループ ポリシー設定の実装
最終更新日: 2006年2月1日
ダウンロード
グループ ポリシーのセキュリティ監査設定を適切に構成するには、次の表に示す設定を適用します。この表には、セキュリティの監視および攻撃検出に影響する追加設定も含まれます。次の表を使用して、環境内での現在の設定を確認してください。
表 B.1: グループ ポリシーのセキュリティ監査設定
| ポリシーのパス | ポリシー | ポリシー設定とコメント |
|---|---|---|
| ローカル ポリシー/ 監査ポリシー | アカウント ログオン イベントの監査 | このイベントでコンピュータにだれがアクセスしたかが記録されるように、すべてのコンピュータで成功の監査を有効にします。ネットワークにアクセスできても資格情報のない攻撃者がサービス拒否 (DoS) 攻撃を行い、このようなイベントを生成するためにコンピュータのリソースが消費される可能性がありますが、注意を促すために失敗の監査を有効にします。監査ログがいっぱいになったときにコンピュータをシャットダウンする場合は、この設定によって DoS 攻撃が行われる可能性があるので、注意を促す意味で成功の監査を有効にします。すべての管理者ログオンを、他のすべての疑わしいエントリと関連付けます。 |
| ローカル ポリシー/ 監査ポリシー | アカウント管理の監査 | 成功と失敗の両方を有効にします。すべての成功の監査エントリを、管理者の承認と関連付けます。すべての失敗の監査を疑わしいイベントとして扱います。 |
| ローカル ポリシー/ 監査ポリシー | ディレクトリ サービスのアクセスの監査 | 既定のドメイン コントローラのグループ ポリシーでは、この設定が既定で有効になっています。Active Directory ユーザーとコンピュータまたは Active Directory サービス インターフェイス エディタ (ADSI Edit) で、システム アクセス制御リスト (SACL) を使用することによって、機密性の高いディレクトリ オブジェクトに監査設定を構成します。SACL の実装を計画し、運用環境に SACL を展開する前に、現実的なテスト環境で SACL をテストする必要があります。このアプローチによって、セキュリティ ログが大量のデータによって過負荷になることを防ぎます。 |
| ローカル ポリシー/ 監査ポリシー | ログオン イベントの監査 | このイベントでコンピュータにだれがアクセスしたかが記録されるように、すべてのコンピュータで成功の監査を有効にします。ネットワークにアクセスできても資格情報のない攻撃者がこのようなイベントを生成するためにリソースを消費する可能性もありますが、注意を促す意味で失敗の監査を有効にします。 |
| ローカル ポリシー/ 監査ポリシー | オブジェクト アクセスの監査 | 結果的に非常に大量の監査となるので、この設定を有効にするときには注意が必要です。SACL によって価値の高いフォルダにのみ監査設定を構成し、目的とする最低限の種類のアクセスのみを監査します。脅威モデルによってこれが有効と判断される場合は、書き込みのみを監査します (読み取りアクセスは監査しません)。 |
| ローカル ポリシー/ 監査ポリシー | ポリシーの変更の監査 | 成功のイベント監査と失敗のイベント監査の両方を有効にします。すべての成功を、管理者の承認と相互参照します。すべての失敗の監査を疑わしいイベントとして扱います。 |
| ローカル ポリシー/ 監査ポリシー | 特権使用の監査 | 特権使用の監査によって大量のイベントが生成されるので有効にしません。 |
| ローカル ポリシー/ 監査ポリシー | プロセス追跡の監査 | CGI (Common Gateway Interface) Web サーバー、テスト用コンピュータ、バッチ処理を実行するサーバー、または開発者のワークステーションではこの設定を有効にしません。脆弱なコンピュータでこの設定を有効にすると、予期しないアプリケーションの動作にすぐに反応します。必要に応じて、このようなコンピュータは物理的に分離します。この設定により、イベント ログがいっぱいになる可能性があります。 |
| ローカル ポリシー/ 監査ポリシー | システム イベントの監査 | 成功のイベント監査と失敗のイベント監査の両方を有効にします。 |
| ローカル ポリシー/ユーザー権利の割り当て | セキュリティ監査の生成 | この設定は、既定でローカル システム、 Local Service、および Network Service に割り当てられます。この権利は、サービス アカウント以外のどのアカウントにも適用しないでください。攻撃者はこの設定を使用して、セキュリティ ログに不適切なイベントや不正確なイベントを生成できます。 |
| ローカル ポリシー/ユーザー権利の割り当て | 監査とセキュリティ ログの管理 | この設定を使用して、ファイル、フォルダ、およびレジストリ設定の監査設定を変更できる管理者を制限します。監査設定を変更でき、ローカル セキュリティ ポリシー設定から管理者グループを削除できる管理者用に、セキュリティ グループを作成することを検討してください。新しいセキュリティ グループのメンバのみが、監査を構成できます。 |
| ローカル ポリシー/セキュリティ オプション | 監査 : グローバル システム オブジェクトへのアクセスを監査する | この設定では、ミューテックス (相互に排他的なイベント)、セマフォ、MS-DOS デバイスなどの名前が付けられたシステム オブジェクトに、SACL を追加します。Windows Server 2003 の既定の設定では、このオプションは有効ではありません。結果として大量のイベントが発生するので、この設定は有効にしません。 |
| ローカル ポリシー/セキュリティ オプション | 監査 : バックアップと復元の特権の使用を監査する | バックアップと復元の処理によって、ACL が保護するデータが盗まれる可能性が生じます。結果として大量のイベントが発生するので、この設定は有効にしません。 |
| ローカル ポリシー/セキュリティ オプション | 監査 : セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする | 攻撃者がこの機能を DoS 攻撃に使用できるので、価値の高いコンピュータについてのみ慎重に検討してからこの設定を有効にします。 |
| イベント ログ | セキュリティ ログの最大サイズ | セキュリティ ログの最大サイズは、64 KB の倍数にする必要があります。イベントの平均サイズは 0.5 KB です。推奨設定は、セキュリティ ログの保管に計画されるイベントの量と設定によって異なります。大量のイベントが発生する環境では、ログ ファイルのサイズをできる限り大きく設定します。最大サイズは 250 MB です。すべてのイベント ログの合計のサイズは 300 MB を超えることができないので、この数字を超えないようにしてください。 |
| イベント ログ | ゲストによるセキュリティ ログへのアクセスを許可しない | Windows Server 2003 では、既定でこの設定が有効です。この設定は変更しないでください。 |
| イベント ログ | セキュリティ ログの保管日数 | 保管方法の [イベントを上書きする X 日経過後] を選択した場合に、この設定を有効にします。イベントをポーリングするイベント関連付けシステムを使用する場合、失敗したポーリングを再実行できるように、日数はポーリング間隔の少なくとも 3 倍であることを確認します。 |
| イベント ログ | セキュリティ ログの保管方法 | セキュリティの高い環境の場合は、[イベントを上書きしない] 設定を有効にします。この場合、セキュリティ ログがいっぱいになったらコンピュータをシャットダウンする場合は特に、定期的にログを保管して、空にするような手順を確立します。 |