高度なセキュリティ監査ポリシー設定
高度なセキュリティ監査ポリシー設定 (Windows 10)
IT プロフェッショナル向けのこのリファレンスは、以下に関する情報を提供します:
- Windows で利用可能な高度な監査ポリシー設定
- これらの設定が生成する監査イベント
セキュリティ設定\高度な監査ポリシー構成の下にあるセキュリティ監査ポリシー設定は、次のような正確に定義された活動を追跡することにより、重要なビジネス関連およびセキュリティ関連のルールに対する組織のコンプライアンスを監査するのに役立ちます:
- グループ管理者が財務情報を含むサーバーの設定やデータを変更した。
- 定義されたグループ内の従業員が重要なファイルにアクセスした。
- 検出されないアクセスに対する検証可能な保護手段として、正しいシステムアクセス制御リスト (SACL) が次のいずれかに適用されている:
- すべてのファイルとフォルダー
- コンピューター上のレジストリキー
- ファイル共有
これらの監査ポリシー設定には、ローカルコンピューターのローカルセキュリティポリシースナップイン (secpol.msc) を使用するか、グループポリシーを使用してアクセスできます。
これらの高度な監査ポリシー設定により、監視したい動作のみを選択できます。次のような動作の監査結果を除外できます:
- あなたにとってほとんど関心がない、または全く関心がないもの
- 過剰な数のログエントリを生成するもの
さらに、セキュリティ監査ポリシーはドメイングループポリシーオブジェクトを使用して適用できるため、監査ポリシー設定を比較的簡単に変更、テスト、および選択されたユーザーやグループに展開できます。 セキュリティ設定\高度な監査ポリシー構成の下にある監査ポリシー設定は、次のカテゴリで利用できます:
アカウントログオン
このカテゴリのポリシー設定を構成することで、ドメインコントローラーまたはローカルのセキュリティアカウントマネージャー (SAM) でアカウントデータの認証を試みた記録を残すことができます。ログオンおよびログオフのポリシー設定やイベントとは異なり、アカウントログオンの設定およびイベントは使用されるアカウントデータベースに焦点を当てています。このカテゴリには次のサブカテゴリが含まれます:
アカウント管理
このカテゴリのセキュリティ監査ポリシー設定は、ユーザーおよびコンピューターアカウントやグループの変更を監視するために使用できます。このカテゴリには次のサブカテゴリが含まれます:
詳細な追跡
詳細な追跡セキュリティポリシー設定および監査イベントは、以下の目的で使用できます:
- 個々のアプリケーションおよびユーザーの活動を監視するため
- コンピューターの使用方法を理解するため
このカテゴリには次のサブカテゴリが含まれます:
DS アクセス
DS アクセスセキュリティ監査ポリシー設定は、Active Directory ドメインサービス (AD DS) 内のオブジェクトへのアクセスおよび変更の試行に関する詳細な監査記録を提供します。これらの監査イベントはドメインコントローラーでのみ記録されます。このカテゴリには次のサブカテゴリが含まれます:
ログオン/ログオフ
ログオン/ログオフのセキュリティ ポリシー設定と監査イベントにより、コンピューターへのインタラクティブまたはネットワーク経由のログオン試行を追跡できます。これらのイベントは、ユーザーの活動を追跡し、ネットワーク リソースへの潜在的な攻撃を特定するのに特に役立ちます。このカテゴリには、次のサブカテゴリが含まれます:
- アカウント ロックアウトの監査
- ユーザー/デバイス クレームの監査
- IPsec 拡張モードの監査
- グループ メンバーシップの監査
- IPsec メイン モードの監査
- IPsec クイック モードの監査
- ログオフの監査
- ログオンの監査
- ネットワーク ポリシー サーバーの監査
- その他のログオン/ログオフ イベントの監査
- 特別なログオンの監査
オブジェクト アクセス
オブジェクト アクセス ポリシー設定と監査イベントにより、ネットワークまたはコンピューター上の特定のオブジェクトまたはオブジェクトの種類へのアクセス試行を追跡できます。ファイル、ディレクトリ、レジストリ キー、またはその他のオブジェクトへのアクセス試行を監査するには、成功および/または失敗イベントに対して適切なオブジェクト アクセス監査サブカテゴリを有効にします。たとえば、ファイル操作を監査するにはファイル システム サブカテゴリを有効にする必要があり、レジストリ アクセスを監査するにはレジストリ サブカテゴリを有効にする必要があります。
これらの監査ポリシーが外部監査人に対して有効であることを証明するのはより困難です。すべての継承オブジェクトに適切な SACL が設定されていることを確認する簡単な方法はありません。この問題に対処するには、グローバル オブジェクト アクセス監査を参照してください。
このカテゴリには、次のサブカテゴリが含まれます:
- アプリケーション生成の監査
- 認証サービスの監査
- 詳細ファイル共有の監査
- ファイル共有の監査
- ファイルシステムの監査
- フィルタリングプラットフォーム接続の監査
- フィルタリングプラットフォームパケットドロップの監査
- ハンドル操作の監査
- カーネルオブジェクトの監査
- その他のオブジェクトアクセスイベントの監査
- レジストリの監査
- リムーバブルストレージの監査
- SAMの監査
- 中央アクセスポリシーステージングの監査
ポリシー変更
ポリシー変更の監査イベントは、ローカルシステムやネットワーク上の重要なセキュリティポリシーの変更を追跡することができます。ポリシーは通常、ネットワークリソースを保護するために管理者によって設定されるため、これらのポリシーの変更(または変更の試み)を追跡することは、ネットワークのセキュリティ管理において重要な側面です。このカテゴリには次のサブカテゴリが含まれます:
特権使用
ネットワーク上の権限は、ユーザーやコンピュータが定義されたタスクを完了するために付与されます。特権使用のセキュリティポリシー設定と監査イベントは、1つまたは複数のシステムで特定の権限の使用を追跡することができます。このカテゴリには次のサブカテゴリが含まれます:
システム
システムセキュリティポリシー設定と監査イベントにより、コンピュータに対する以下の種類のシステムレベルの変更を追跡できます:
- 他のカテゴリに含まれない
- セキュリティに関する潜在的な影響がある
このカテゴリには以下のサブカテゴリが含まれます:
グローバルオブジェクトアクセス監査
グローバルオブジェクトアクセス監査ポリシー設定により、管理者はファイルシステムまたはレジストリのオブジェクトタイプごとにコンピュータシステムアクセス制御リスト (SACL) を定義できます。指定されたSACLは、そのタイプのすべてのオブジェクトに自動的に適用されます。 監査人は、システム内のすべてのリソースが監査ポリシーによって保護されていることを証明できます。彼らはグローバルオブジェクトアクセス監査ポリシー設定の内容を確認することでこのタスクを実行できます。例えば、監査人が「グループ管理者によって行われたすべての変更を追跡する」というポリシー設定を見た場合、このポリシーが有効であることがわかります。
リソースSACLは診断シナリオにも役立ちます。例えば、管理者は次の方法でシステム内のどのオブジェクトがユーザーのアクセスを拒否しているかを迅速に特定できます:
- 特定のユーザーのすべての活動をログに記録するようにグローバルオブジェクトアクセス監査ポリシーを設定する
- ファイルシステムまたはレジストリの「アクセス拒否」イベントを追跡するようにポリシーを有効にすることが役立ちます
[!NOTE] ファイルまたはフォルダのSACLとグローバルオブジェクトアクセス監査ポリシー設定(または単一のレジストリ設定SACLとグローバルオブジェクトアクセス監査ポリシー設定)がコンピュータに設定されている場合、有効なSACLはファイルまたはフォルダのSACLとグローバルオブジェクトアクセス監査ポリシーを組み合わせたものから導き出されます。これは、アクティビティがファイルまたはフォルダのSACLまたはグローバルオブジェクトアクセス監査ポリシーに一致する場合、監査イベントが生成されることを意味します。
このカテゴリには以下のサブカテゴリが含まれます: