ローカル ポリシー

  • [アーティクル]

監査ポリシーの設定

最終更新日: 2002年12月18日

監査プロセスにおいて、プランニングは重要なステップです。管理者は、どのオブジェクトを監査するか選択する必要があります。監査時はシステムにオーバーヘッドが生じるので、監査するオブジェクトが多すぎると、セキュリティ ログが大規模になり、管理が困難になります。

監査レコードを記録する前に、監査ポリシーを設定する必要があります。このポリシーは、特定のユーザーまたはグループで監査するイベントの種類を定義します。ただし、監査ポリシーの有効化は、監査の設定に関連する作業の一部にすぎません。監査を実行するには、以下の複数のステップが必要です。

  1. ドメイン コントローラの監査を有効にする。

  2. 監査するオブジェクトを選択し、オブジェクトのシステム アクセス コントロール リスト (SACL) を設定する。

  3. イベント ログを設定する。

  4. 権限のないアクセスまたは変更から、監査データを保護する。

  5. 監査ログの確認および管理を行う。

このサブセクションでは、1 と 2 のステップのみを扱います。それ以外の監査管理に関するステップは、このドキュメントの「監査管理」のサブセクションで取り上げます。

監査ポリシーは、監査が必要なセキュリティ関連イベントのカテゴリを指定します。Windows 2000 を最初にインストールしたときは、すべての監査カテゴリがオフになっています。さまざまな監査イベント カテゴリをオンにすることで、管理者は組織のセキュリティ ニーズに適した監査ポリシーを実行することができます。

監査をドメイン コントローラで有効にするには、以下を実行します。

  1. 管理者アカウントを使用してログオンします。

  2. **[Active Directory ユーザーとコンピュータ]**ツールを開きます。

  3. ドメイン コントローラが保存されたコンテナを右クリックし、[プロパティ] をクリックします。

  4. [グループ ポリシー]タブをクリックし、[編集] をクリックして、[既定のドメイン ポリシー] を編集します。

  5. [グループ ポリシー] ウィンドウの [コンピュータ構成] を展開し、[Windows の設定][セキュリティの設定][ローカル ポリシー] の順に移動します。

  6. [監査ポリシー] を選択します。

    拡大表示する

  7. 例のように、[ディレクトリ サービスのアクセスの監査] ポリシーをダブルクリックし、成功または失敗したアクセスの監査を有効または無効にします。

    拡大表示する

  8. [OK] をクリックします。変更が有効になるまで数分かかります。その他のドメイン コントローラは次回の定期的な複製時に変更を受信します。

監査のベスト プラクティス

数あるセキュリティ脅威のリスクを最小化するため、管理者はさまざまな監査ステップを採ります。その際、環境固有の脅威を考慮して、監査するイベントを選択する必要があります。以下の表は、監査できるさまざまなイベントと、監査イベントが監視するセキュリティ脅威の例を示したものです。

監査イベント 潜在的な脅威
ログオン/ログオフの失敗の監査 パスワードのランダムなハッキング
ログオン/ログオフの成功の監査 盗まれたパスワードによる侵入
ユーザー権利、ユーザーとグループの管理、セキュリティ変更ポリシー、再起動、シャットダウン、およびシステム イベントの成功の監査 特権の誤用
ファイル アクセスとオブジェクト アクセス イベントの成功と失敗の監査。ファイル マネージャでの疑わしいユーザーまたはグループによる重要なファイルへの読み書きの成功と失敗の監査 重要なファイルに対する不正なアクセス
ファイル アクセス プリンタとオブジェクト アクセス イベントの成功と失敗の監査。プリント マネージャでの疑わしいユーザーまたはグループによるプリンタへのプリント アクセスの成功と失敗の監査 プリンタに対する不正なアクセス
プログラム ファイル (.EXE 拡張子と.DLL 拡張子) への書き込みアクセスの成功と失敗の監査。プロセス追跡の成功と失敗の監査。疑わしいプログラムを実行し、プログラムファイルの変更や、予想されないプロセスの作成といった予期しない試みに関するセキュリティ ログを調査。システム ログをアクティブに監視する場合のみ実行。 ウイルスの発生
付録 B – 『Windows 2000 Security Configuration Guide』 の「監査カテゴリとイベント」には、Windows 2000 ST 要件に必要とされる監査可能なイベントと、監査カテゴリおよび監査イベントを相互参照した表が含まれています。これは、特定の ST 要件に対応した監査ポリシーを実行する場合に参考にすることができます。 [](#mainsection)[ページのトップへ](#mainsection) ### オブジェクト監査の有効化 オブジェクトへのアクセスの監査が、監査ポリシーの一部として選択されている場合、ディレクトリ サービスのアクセス カテゴリの監査 (ドメイン コントローラ上のオブジェクトの監査) またはオブジェクト アクセス カテゴリの監査 (メンバー サーバー上のオブジェクトの監査) のいずれかがオンになっている必要があります。適切なオブジェクト アクセス カテゴリをオンにした後は、個々のオブジェクトの [プロパティ] を使用して、各グループまたはユーザーへの特定のアクセス要求の成功または失敗を監査するか指定することができます。 [](#mainsection)[ページのトップへ](#mainsection) ### ディレクトリ オブジェクトの監査の有効化 管理者は、以下の手順を使用してディレクトリ オブジェクトの監査 SACL を設定することができます。 **警告** SeSecurityPrivilege によって、ユーザーがオブジェクトに SACL を設定できるようになります。管理者は、この特権を非管理者ユーザーに割り当てないようにする必要があります。 1. 管理者アカウントを使用してログオンします。 2. [Active Directory ユーザーとコンピュータ] ツールを開きます。 3. **[表示\]** メニューの **\[詳細設定\]**を選択します。 ![](images/Dd362972.w2kab030s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab030(ja-jp,technet.10).gif) 4. オブジェクトのコンテナを探して右クリックし、**\[プロパティ\]** をクリックします。 5. **\[セキュリティ\]** タブをクリックします。 6. **\[詳細\]** タブをクリックし、**\[監査\]** タブをクリックします。 7. **\[追加\]** ボタンをクリックします。 8. セキュリティ原則の名前を選択し、**\[OK\]** をクリックします。 ![](images/Dd362972.w2kab031s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab031(ja-jp,technet.10).gif) 9. **\[オブジェクト\]** と **\[プロパティ\]** という 2 つのタブのあるダイアログボックスが表示されます。 10. **\[オブジェクト\]** タブでは、監査する一般的な権利と制御権利を選択することができます。 11. **\[プロパティ\]** タブでは、監査するアクセスのプロパティを選択することができます。 12. プルダウン リストを使って選択します。 13. 変更が必要なタブをクリックし、監査するアクセスまたはプロパティを選択します。 14. **\[適用\]** ボックスをチェックし、**\[OK\]** をクリックします。 ![](images/Dd362972.w2kab032s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab032(ja-jp,technet.10).gif) 15. **\[アクセス制御の設定\]** ウィンドウで、この選択をオブジェクトの親コンテナから継承するかどうかを選択します。選択する場合、**\[継承可能な監査エントリを親からこのオブジェクトに継承できるようにする\]** チェックボックスをオンにします。 ![](images/Dd362972.w2kab033s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab033(ja-jp,technet.10).gif) 16. **\[適用\]**、**\[OK\]** の順にクリックします。 17. **\[プロパティ\]** ウィンドウで、親コンテナから監査許可を継承し、このオブジェクトへ伝達するかどうか指定します。継承する場合は該当するボックスをチェックします。 ![](images/Dd362972.w2kab034s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab034(ja-jp,technet.10).gif) 18. **\[適用\]**、**\[OK\]** の順にクリックします。 #### ファイルおよびフォルダの監査の有効化と編集 **ファイルまたはフォルダの監査を設定、表示、変更、削除するには、以下を実行します。** 1. Windows の **\[エクスプローラ\]** を開き、監査するファイルまたはフォルダを探します。 2. ファイルまたはフォルダを右クリックし、**\[プロパティ\]** を選択して、**\[セキュリティ\]** タブをクリックします。 ![](images/Dd362972.w2kab035s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab035(ja-jp,technet.10).gif) 3. \[詳細\] タブ、**\[監査\]**タブの順にクリックします。 4. 新しいグループまたはユーザーの監査を設定するには、**\[追加\]** をクリックします。. 5. **\[名前\]**にユーザー名を入力するか、一覧からユーザーを選択し、**\[OK\]** をクリックすると、自動的に **\[監査エントリ\]** ダイアログボックスが開きます。 ![](images/Dd362972.w2kab036s(ja-jp,TechNet.10).gif) [拡大表示する](https://technet.microsoft.com/ja-jp/dd362972.w2kab036(ja-jp,technet.10).gif) 6. **\[監査エントリ\]** ダイアログボックスの **\[アクセス\]** の下にある **\[成功\]**、 **\[失敗\]**、またはその両方をクリックし、このユーザーに関して監査するイベントを選択します。次に、サブコンテナへ変更を伝達する必要がある場合、**\[これらの監査エントリを、このコンテナの中にあるオブジェクトやコンテナにのみ適用する\]** をチェックします。**\[OK\]** をクリックして、**\[監査エントリ\]** ダイアログボックスを閉じます。 ![](images/Dd362972.w2kab037(ja-jp,TechNet.10).gif) 7. 既存のグループまたはユーザーの監査を表示または変更するには、名前をクリックし、**\[表示/編集\]** をクリックするだけです。 8. 既存のグループまたはユーザーの監査を削除するには、名前をクリックして、**\[削除\]**をクリックします。 **注意** - 必要な場合は、\[監査エントリ\] ダイアログボックスで、監査を行う \[適用先\] 一覧を選択します。\[適用先\] 一覧に表示されるのはフォルダだけです。 ![](images/Dd362972.w2kab038(ja-jp,TechNet.10).gif) - Windows 2000 がファイルとフォルダへのアクセスを監査する前に、\[監査ポリシー\] の \[オブジェクト アクセスの監査\] を有効にしておく必要があります。有効にしていない場合、ファイルとフォルダへの監査を設定したときに、エラー メッセージが表示され、どのファイルもフォルダも監査されません。監査を有効にした後は、イベント ビューワでセキュリティ ログを表示し、監査されたファイルとフォルダに対するアクセスの成功または失敗を確認します。 [](#mainsection)[ページのトップへ](#mainsection)