監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする
[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] セキュリティ ポリシー設定のベスト プラクティス、場所、値、管理方法、およびセキュリティに関する考慮事項について説明します。
参考
[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] ポリシー設定は、セキュリティ イベントを記録できない場合にシステムをシャットダウンするかどうかを判断します。このポリシー設定は、監査システムが監査対象となるイベントを記録できない場合にこれらのイベントが発生しないようにするために、Trusted Computer System Evaluation Criteria (TCSEC)-C2 とコモン クライテリア認定の要件となっています。Microsoft は、監査システムにエラーが発生した場合にシステムを停止して停止メッセージを表示することで、この要件を満たしています。このポリシー設定を有効にすると、何らかの理由でセキュリティ監査を記録できない場合にシステムを停止します。通常、セキュリティ監査ログがいっぱいの場合や、[セキュリティ ログの保存方法] の値が [イベントを上書きしない (ログは手動で消去)] または [指定した日数を過ぎたら上書きする] の場合にイベントの記録に失敗します。
[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] が [有効] に設定されていて、これらのセキュリティ ログがいっぱいで既存のエントリを上書きできない場合、次の停止メッセージが表示されます。
STOP: C0000244 {Audit Failed} (停止: C0000244 {監査の失敗}) セキュリティ監査の生成に失敗しました。 |
回復するには、ログオンして、ログのアーカイブ (省略可能) と消去を行い、必要に応じてこのオプションをリセットします。
コンピューターがセキュリティ ログにイベントを記録することができない場合、セキュリティの問題が発生した後の確認のために重要な証拠または重要なトラブルシューティング情報が利用できない場合があります。
設定可能な値
有効
無効
未定義
ベスト プラクティス
- セキュリティ監査の要件に応じて、[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を有効にしてセキュリティ監査情報がレビュー用にキャプチャされるようにします。ただし、この設定を有効にすると記録されるイベントの数が増加します。
場所
コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
既定値
次の表に、このポリシーの実際の値と有効な既定値を示します。既定値は、ポリシーのプロパティ ページにも表示されます。
サーバーの種類または GPO | 既定値 |
---|---|
既定のドメイン ポリシー |
未定義 |
既定のドメイン コントローラー ポリシー |
未定義 |
スタンドアロン サーバーの既定の設定 |
無効 |
DC の有効な既定の設定 |
無効 |
メンバー サーバーの有効な既定の設定 |
無効 |
クライアント コンピューターの有効な既定の設定 |
無効 |
ポリシー管理
このセクションでは、このポリシーの管理に役立つ機能やツールについて説明します。
特に [セキュリティ ログの保存方法] も [イベントを上書きしない (ログは手動で消去)] に設定している場合、このポリシー設定を有効にすることによる管理上の負担は非常に大きくなる場合があります。セキュリティ ログに書き込まれるログオン イベントなどのセキュリティ イベントが殺到した場合にサーバーが強制的にシャットダウンされる可能性があるため、この設定は拒否の脅威 (バックアップ オペレーターがデータのバックアップまたは復元を拒否する可能性がある) をサービス拒否の脅威に変えます。さらに、シャットダウンが適切でないために、オペレーティング システム、アプリケーション、またはデータに回復不可能な損害を与える可能性があります。NTFS ファイル システムは突然のシステム シャットダウン時にもファイル システムの整合性の維持を保証しますが、システムが再起動したときにすべてのアプリケーションのすべてのデータ ファイルがまだ使用可能な形式であることは保証できません。
再起動の必要性
なし。このポリシーに対する変更がローカルに保存された場合、またはグループ ポリシーを通じて配布された場合、その変更はコンピューターを再起動しなくても有効になります。
グループ ポリシー
この設定を変更すると、クライアント、サービス、アプリケーションとの互換性に影響が生じる可能性があります。
セキュリティに関する考慮事項
このセクションでは、機能やその構成が攻撃者によってどのように悪用される可能性があるかと、対策を実装する方法、対策の実装に伴う可能性のある悪影響について説明します。
脆弱性
コンピューターがセキュリティ イベント ログにイベントを記録することができない場合、セキュリティの問題が発生した後の確認のために重要な証拠または重要なトラブルシューティング情報が利用できない場合があります。また、攻撃者が意図的にシャットダウンを強制するために、大量のセキュリティ イベント ログ イベントを生成する可能性があります。
対策
[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を有効にしてセキュリティ監査情報がレビュー用にキャプチャされるようにします。
考えられる影響
特に [セキュリティ ログの保存方法] も [イベントを上書きしない (ログは手動で消去)] に設定している場合、このポリシー設定を有効にすると管理上の負担が大きくなる場合があります。セキュリティ イベント ログに書き込まれるログオン イベントなどのセキュリティ イベントが殺到した場合にサーバーが強制的にシャットダウンされる可能性があるため、この構成は拒否の脅威 (バックアップ オペレーターがデータのバックアップまたは復元を拒否する可能性がある) をサービス拒否 (DoS) の脆弱性に変えます。また、突然シャットダウンされるため、オペレーティング システム、アプリケーション、またはデータに回復不可能な損害を与える可能性があります。NTFS ファイル システムはこの種類のコンピューターのシャットダウンが発生したときに整合性を維持しますが、デバイスが再起動したときにすべてのアプリケーションのすべてのデータ ファイルがまだ使用可能な形式であることは保証されません。