監査: グローバル システム オブジェクトへのアクセスを監査する
[監査: グローバル システム オブジェクトへのアクセスを監査する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
このポリシー設定を有効にした場合、デバイスがミューテックス、イベント、セマフォ、MS-DOS® デバイスなどのシステム オブジェクトを作成するときに既定のシステム アクセス制御リスト (SACL) が適用されます。また、[オブジェクト アクセスの監査] 監査設定を有効にすると、これらのシステム オブジェクトへのアクセスが監査されます。
"基本システム オブジェクト" または "基本名前付きオブジェクト" とも呼ばれるグローバル システム オブジェクトは、一時的なカーネル オブジェクトで、これを作成したアプリケーションやシステム コンポーネントによって名前を割り当てられています。これらのオブジェクトは、複数のアプリケーションまたは複雑なアプリケーションの複数の部分を同期するために最もよく使われます。これらのオブジェクトは、名前があるためスコープ内でグローバルであり、そのためデバイス上のすべてのプロセスから見えます。これらのオブジェクトはすべてセキュリティ記述子がありますが、通常、NULL SACL はありません。このポリシー設定を有効にして、スタートアップ時に実行した場合、カーネルは、これらのオブジェクトが作成されたときに SACL を割り当てます。
グローバルに可視の名前付きオブジェクトが正しくセキュリティ保護されていない場合に、オブジェクトの名前を知っている悪意のあるプログラムによって操作される可能性があることは、脅威になります。たとえば、ミューテックスなどの同期オブジェクトが、不完全に構築された任意のアクセス制御リスト (DACL) をもっている場合、悪意のあるプログラムは、名前によってそのミューテックスにアクセスして、それを作成したプログラムを誤動作させる可能性があります。ただし、これが発生するリスクは非常に低いです。
このポリシー設定を有効にすると、特に動作中のドメイン コント ローラーやアプリケーション サーバーで、多数のセキュリティ イベントを生成できます。これによって、サーバーの反応が遅くなり、セキュリティ ログに重要性の低い多数のイベントを記録することを強制する可能性があります。グローバル システム オブジェクトへのアクセス監査はオールオアナッシングの監査であり、録画するイベント、しないイベントをフィルター処理する手段はありません。このポリシー設定を有効にした場合で、組織に生成されるイベントを分析するためのリソースがある場合でも、ソース コード、または何の名前が付いた各オブジェクトが使用されるかの説明をもっている可能性は低いので、多くの組織では、このポリシー設定を有効にしても役に立たない可能性が高いです。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- セキュリティ監査ポリシーの詳細設定\オブジェクト アクセスにある高度なセキュリティ監査ポリシー オプション、[カーネル オブジェクトの監査] を使用して、生成する関連性のない監査イベントの数を減らします。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
このポリシーに対する変更をローカルに保存した場合またはグループ ポリシーを介して配布した場合は、このポリシーを有効にする前にコンピューターを再起動する必要があります。
グループ ポリシー
すべての監査機能がグループ ポリシーに統合されています。管理者は、ドメイン、サイト、または組織単位 (OU) のグループ ポリシー管理コンソール (GPMC) またはローカル セキュリティ ポリシー スナップインにこれらの設定を構成、展開、および管理できます。
監査
グローバル システム オブジェクトへのアクセス試行を監査するには、次の 2 つのセキュリティ監査ポリシーの設定のいずれかを行うことができます。
セキュリティ監査ポリシーの詳細設定\オブジェクト アクセスにある [カーネル オブジェクトの監査]
セキュリティ設定\ローカル ポリシー\監査ポリシーの下の [オブジェクト アクセスの監査]
可能であれば、詳細なセキュリティ監査ポリシーのオプションを使用して、関連性のない監査イベントを生成する回数を減らします。
[カーネル オブジェクトの監査] 設定が構成されている場合、次のイベントが生成されます。
イベント ID | イベント メッセージ |
---|---|
4659 |
オブジェクトに対するハンドルが削除を目的として要求されました。 |
4660 |
オブジェクトが削除されました。 |
4661 |
オブジェクトに対するハンドルが要求されました。 |
4663 |
オブジェクトへのアクセスが試行されました。 |
[カーネル オブジェクトの監査] 設定が構成されている場合、次のイベントが生成されます。
イベント ID | イベント メッセージ |
---|---|
560 |
既存のオブジェクトへのアクセスが許可されました。 |
562 |
オブジェクトに対するハンドルが閉じられました。 |
563 |
削除する目的で、オブジェクトを開こうとしました。 注これは、Createfile() で FILE_DELETE_ON_CLOSE フラグが指定されている場合に、ファイル システによって使用されます。 |
564 |
保護されているオブジェクトが削除されました。 |
565 |
既存のオブジェクトの種類へのアクセスが許可されました。 |
567 |
ハンドルに関連付けられているアクセス許可が使用されました。 注ハンドルは、特定のアクセス許可 (読み取り、書き込みなど) 付きで作成されます。ハンドルを使用すると、使用されたアクセス許可ごとに最大で 1 つの監査が生成されます。 |
569 |
承認マネージャーのリソース マネージャーが、クライアント コンテキストを作成しようとしました。 |
570 |
クライアントがオブジェクトへのアクセスを試行しました。 注オブジェクトのすべての操作の試行についてイベントが生成されます。 |
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
グローバルに表示される名前付きオブジェクトでは、正しくセキュリティ保護されていない場合、オブジェクトの名前を使用することによって、悪意のあるソフトウェアによって操作される可能性があります。たとえば、ミューテックスなどの同期オブジェクトが、不完全に選択された任意のアクセス制御リスト (DACL) をもっている場合、悪意のあるソフトウェアが、名前によってそのミューテックスにアクセスして、それを作成したプログラムを誤動作させる可能性があります。ただし、この発生リスクは非常に低いです。
対策
[監査: グローバル システム オブジェクトへのアクセスを監査する] 設定を有効にします。
考えられる影響
[監査: グローバル システム オブジェクトへのアクセスを監査する] 設定を有効にした場合、特に動作中のドメイン コント ローラーやアプリケーション サーバーで、多数のセキュリティ イベントが生成します。このような発生によって、サーバーの反応が遅くなり、セキュリティ ログに重要性の低い多数のイベントを記録することを強制する可能性があります。このポリシー設定は有効または無効にしか設定できません。また、この設定から記録するイベントを選択する手段はありません。このポリシー設定によって生成されたイベントを分析するリソースを持っている組織であっても、ソース コード、または各名前付きオブジェクトが何に使われるかの説明を持っている可能性は高くありません。したがって、ほとんどの組織では、このポリシー設定を有効にすることが役に立つ可能性は低いです。
監査イベントが生成される回数を減らすために、詳細な監査ポリシーを使用します。