セキュリティ監査の生成

[セキュリティ監査の生成] セキュリティ ポリシー設定のベスト プラクティス、場所、値、ポリシー管理、およびセキュリティに関する考慮事項について説明します。

リファレンス

このポリシー設定は、監査レコードをセキュリティ イベント ログに生成するプロセスが使用できるアカウントを決定します。イベントは、ローカル セキュリティ機関サブシステム サービス (LSASS) によってログに書き込まれます。セキュリティ イベント ログの情報を使用して、デバイスへの不正アクセスをトレースできます。

定数: SeAuditPrivilege

設定可能な値

• アカウントのユーザー定義一覧

• Local Service

• Network Service

ベスト プラクティス

• アカウントが侵害された場合、監査ログは攻撃ベクトルになる可能性があるため、Local Service アカウントと Network Service アカウントのみに [セキュリティ監査の生成] のユーザー権利が割り当てられるようにします。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\ユーザー権利の割り当て

既定値

既定では、この設定は、ドメイン コントローラー上およびスタンドアロン サーバー上では [Local Service] および [Network Service] です。

次の表に、サポートされる最新バージョンの Windows の実際のポリシー値と有効な既定のポリシー値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能、ツール、ガイダンスについて説明します。

このポリシー設定の有効化には、コンピューターの再起動は必要ありません。

アカウントのユーザー権利の割り当てに対する変更はすべて、アカウントの所有者が次にログオンしたときに有効になります。

このユーザーの権利を誤用すると、多くの監査イベントが生成され、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定が有効になっている場合には、攻撃の証拠が隠されたり、サービス拒否 (Denial-Of-Service) を引き起こす可能性があります。

グループ ポリシー

設定は、グループ ポリシー オブジェクト (GPO) によって次の順番で適用されます。これにより、次回のグループ ポリシーの更新時にローカル コンピューターの設定が上書きされます。

1. ローカル ポリシー設定

2. サイト ポリシー設定

3. ドメイン ポリシー設定

4. OU ポリシー設定

ローカル設定が灰色表示されている場合は、GPO が現在その設定を制御していることを示します。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

悪意のあるユーザーが、セキュリティ ログに書き込むことができるアカウントを使用して、ログを無意味なイベントでいっぱいにする可能性があります。コンピューターが必要に応じてイベントを上書きするように構成されている場合、悪意のあるユーザーは、この方法を利用して、不正なアクティビティの証拠を削除する可能性があります。コンピューターがセキュリティ ログに書き込むことができないときはシャットダウンするように構成され、ログ ファイルを自動的にバックアップするように構成されていない場合、この方法を利用して DoS 状態が作り出される可能性があります。

対策

Local Service アカウントと Network Service アカウントのみが [セキュリティ監査の生成] のユーザー権利を持つようにします。

潜在的な影響

なし。[セキュリティ監査の生成] のユーザー権利を Network Service アカウントと Network Service アカウントのみに制限することは既定の構成です。

関連トピック

ユーザー権利の割り当て