監査: バックアップと復元の特権の使用を監査する

[監査: バックアップと復元の特権の使用を監査する] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。

参考

[監査: バックアップと復元の特権の使用を監査する] ポリシー設定は、[特権使用の監査] ポリシー設定が構成されている場合に、バックアップと復元を含む、すべてのユーザーの権利の使用を監査するかどうかを決定します。両方のポリシー設定を有効にすると、バックアップまたは復元されたすべてのファイルの監査イベントが生成されます。

設定可能な値

• 有効

• 無効

• 未定義

ベスト プラクティス

• [監査: バックアップと復元の特権の使用を監査する] を無効に設定します。このポリシー設定を有効にすると、多数のセキュリティ イベントが生成される場合があり、そのためサーバーの反応が遅くなり、セキュリティ イベント ログにあまり重要ではない多数のイベントを記録することを強制される可能性があります。

場所

コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション

既定値

次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。

ポリシー管理

このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。

再起動の必要性

なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。

監査

[特権使用の監査] ポリシー設定と共にこのポリシー設定を有効にすると、セキュリティ ログに実行されているユーザー権利のいずれかのインスタンスを記録します。[特権使用の監査] は有効になっているが [監査: バックアップと復元の特権の使用を監査する] が無効になっている場合、ユーザーがユーザーの権限をバックアップまたは復元する際に、これらのイベントは監査されません。

このポリシーの設定を有効にして、[特権使用の監査] ポリシー設定も有効になっている場合は、バックアップまたは復元されたすべてのファイルについて、監査イベントが生成されます。これは、承認されていない手段で、誤ってまたは悪意を持ってデータを復元した管理者を追跡するのに役立ちます。

または、詳細な監査ポリシー、[重要な特権の使用の監査] を使用することができるため、生成されるイベントの数を管理するのに役立ちます。

セキュリティに関する考慮事項

このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。

脆弱性

バックアップと復元機能を使用すると、バックアップの対象に一致するファイル システムのコピーが作成されます。定期的なバックアップと復元のボリュームを作成することは、インシデント対応計画の重要な部分です。ただし、悪意のあるユーザーが、情報にアクセスするため、またはエンタープライズを侵害する正当なネットワーク リソースを偽装するために、正当なバックアップ コピーを使用する可能性があります。

対策

[監査: バックアップと復元の特権の使用を監査する] 設定を有効にします。または、[AutoBackupLogFiles] レジストリ キーを構成することで、ログの自動バックアップを実装します。このオプションを有効にして、[特権使用の監査] 設定も有効になっている場合は、バックアップまたは復元されたすべてのファイルについて、監査イベントが生成されます。この情報は、誤ってまたは悪意をもって、承認されていない方法でデータを復元するために使用されたアカウントを特定するのに役立つ可能性があります。

このキーの構成について詳しくは、Microsoft サポート技術情報の「記事 100879」をご覧ください。

考えられる影響

このポリシー設定を有効にすると、多数のセキュリティ イベントが生成される場合があり、そのためサーバーの反応が遅くなり、セキュリティ イベント ログにあまり重要ではない多数のイベントを記録することを強制される可能性があります。システムがシャットダウンする可能性を減らすためにセキュリティ イベント ログのサイズを大きくすると、大きすぎるログ ファイルがシステムのパフォーマンスに影響する可能性があります。

関連トピック

セキュリティ オプション