監査ポリシー変更の監査
監査ポリシー変更の監査
監査ポリシー変更の監査は、監査ポリシーに変更が加えられたときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
イベントボリューム: 低。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | はい | いいえ | はい | いいえ | このサブカテゴリのほとんどのイベントはセキュリティに関連しており、監視する必要があります。 このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
| メンバーサーバー | はい | いいえ | はい | いいえ | このサブカテゴリのほとんどのイベントはセキュリティに関連しており、監視する必要があります。 このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
| ワークステーション | はい | いいえ | はい | いいえ | このサブカテゴリのほとんどのイベントはセキュリティに関連しており、監視する必要があります。 このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
監査される監査ポリシーの変更には以下が含まれます:
監査ポリシーオブジェクトの権限および監査設定の変更(「auditpol /set /sd」コマンドを使用)。
システム監査ポリシーの変更。
セキュリティイベントソースの登録および登録解除。
ユーザーごとの監査設定の変更。
CrashOnAuditFailの値の変更。
オブジェクトの監査設定の変更(例えば、ファイルやレジストリキーのシステムアクセス制御リスト(SACL)の変更)。
Note SACLの変更監査は、オブジェクトのSACLが変更され、ポリシー変更カテゴリが設定されている場合に実行されます。任意アクセス制御リスト(DACL)および所有者の変更監査は、オブジェクトアクセス監査が設定され、オブジェクトのSACLがDACLまたは所有者の変更の監査のために設定されている場合に実行されます。
- 特別グループリストの変更。
このサブカテゴリで成功監査が有効になるイベントは以下の通りです:
4902(S): ユーザーごとの監査ポリシーテーブルが作成されました。
4907(S): オブジェクトの監査設定が変更されました。
4904(S): セキュリティイベントソースの登録が試みられました。
4905(S): セキュリティイベントソースの登録解除が試みられました。
このサブカテゴリの他のすべてのイベントは、「監査ポリシーの変更」設定に関係なく記録されます。
イベントリスト:
4715(S): オブジェクトの監査ポリシー(SACL)が変更されました。
4719(S): システム監査ポリシーが変更されました。
4817(S): オブジェクトの監査設定が変更されました。
4902(S): ユーザーごとの監査ポリシーテーブルが作成されました。
4906(S): CrashOnAuditFailの値が変更されました。
4907(S): オブジェクトの監査設定が変更されました。
4908(S): 特別グループログオンテーブルが変更されました。
4912(S): ユーザーごとの監査ポリシーが変更されました。
4904(S): セキュリティイベントソースの登録が試みられました。
4905(S): セキュリティイベントソースの登録解除が試みられました。