監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする
[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、およびセキュリティに関する考慮事項について説明します。
参考
監査ポリシーのサブカテゴリを使用して、より厳密に監査ポリシーを管理できます。
デバイスでのアクティビティに関する正確な詳細情報を提供する 40 以上の監査サブカテゴリがあります。これらのサブカテゴリについて詳しくは、「詳細なセキュリティ監査ポリシーの設定」をご覧ください。
設定可能な値
有効
無効
ベスト プラクティス
- 設定を有効のままにします。これは、ポリシーを変更することなく、カテゴリのレベルでイベントを監査する機能を提供します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
有効 |
DC の有効な既定の設定 |
有効 |
メンバー サーバーの有効な既定の設定 |
有効 |
クライアント コンピューターの有効な既定の設定 |
有効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はデバイスを再起動しなくても有効になります。
グループ ポリシー
すべての監査機能がグループ ポリシーに統合されています。管理者は、ドメイン、サイト、または組織単位 (OU) のグループ ポリシー管理コンソール (GPMC) またはローカル セキュリティ ポリシー スナップインにこれらの設定を構成、展開、および管理できます。
監査
グループ ポリシーの変更を必要とせず、サブカテゴリを使用して監査ポリシーを管理するために、SCENoApplyLegacyAuditPolicy レジストリ値は、グループ ポリシーから、およびローカル セキュリティ ポリシーの管理ツールからのカテゴリレベルの監査ポリシーの適用を防止します。
ここで設定されているカテゴリのレベルの監査ポリシーが現在生成されているイベントと一致しない場合は、このレジストリ キーが設定されてことが原因の可能性があります。
コマンド ライン ツール
auditpol.exe を使用して、コマンド プロンプトから監査ポリシーの表示および管理をすることができます。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
Windows Vista での監査のサブカテゴリの開始以前は、システムごとまたはユーザーごとのレベルでイベントを追跡するのは困難でした。大きなイベント カテゴリが作成するイベントが多すぎて、監査が必要なキーの情報を見つけることが困難でした。
対策
特定のイベントを追跡するために必要な監査ポリシーのサブカテゴリを有効にします。
考えられる影響
コマンド ライン ツールでこの設定を有効にした後でグループ ポリシーを使用して監査を変更しようとすると、カスタムのポリシー設定が選択されてグループ ポリシー監査設定は無視されます。グループ ポリシーを使用して監査設定を変更するには、まず SCENoApplyLegacyAuditPolicy キーを無効にする必要があります。
重要
大量のトラフィックを生成する可能性がある監査設定については、十分な注意が必要です。たとえば、すべての特権の使用のサブカテゴリの成功または失敗の監査を有効にした場合、大量に生成される監査イベントによって、セキュリティ イベント ログ内のその他の種類のエントリを検索することが難しくなる場合があります。このような構成は、システムのパフォーマンスにも大きな影響を及ぼす可能性があります。