認証ポリシー変更の監査
認証ポリシー変更の監査
認証ポリシー変更の監査は、認証ポリシーが変更されたときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
認証ポリシーに対する変更には以下が含まれます:
フォレストおよびドメイン信頼の作成、変更、および削除。
コンピューターの構成\Windows 設定\セキュリティ設定\アカウントポリシー\Kerberos ポリシーの変更。
次のユーザーログオン権限のいずれかがユーザーまたはグループに付与されたとき:
ネットワークからこのコンピューターにアクセス
ローカルでのログオンを許可
リモートデスクトップ経由でのログオンを許可
バッチジョブとしてログオン
サービスとしてログオン
追加された信頼が既存の名前空間名と衝突するなどの名前空間の衝突。
この設定は、ドメインレベルおよびフォレストレベルの信頼と、ユーザーアカウントまたはグループに付与された特権の変更を追跡するのに役立ちます。
イベントボリューム: 低。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | はい | いいえ | はい | いいえ | ドメインコントローラーでは、このサブカテゴリの成功監査を有効にして、ドメインおよびフォレスト信頼に関連する操作、Kerberos ポリシーの変更、およびこのサブカテゴリに含まれるその他のイベントに関する情報を取得することが重要です。このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
| メンバーサーバー | はい | いいえ | はい | いいえ | メンバーサーバーでは、このサブカテゴリの成功監査を有効にして、ユーザーログオン権限ポリシーの変更およびパスワードポリシーの変更に関する情報を取得することが重要です。このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
| ワークステーション | はい | いいえ | はい | いいえ | ワークステーションでは、このサブカテゴリの成功監査を有効にして、ユーザーログオン権限ポリシーの変更およびパスワードポリシーの変更に関する情報を取得することが重要です。このサブカテゴリには失敗イベントがないため、失敗監査を有効にすることは推奨されません。 |
イベントリスト:
4670(S): オブジェクトの権限が変更されました
4706(S): ドメインへの新しい信頼が作成されました。
4707(S): ドメインへの信頼が削除されました。
4716(S): 信頼されたドメイン情報が変更されました。
4713(S): Kerberosポリシーが変更されました。
4717(S): アカウントにシステムセキュリティアクセスが付与されました。
4718(S): アカウントからシステムセキュリティアクセスが削除されました。
4739(S): ドメインポリシーが変更されました。
4864(S): 名前空間の衝突が検出されました。
4865(S): 信頼されたフォレスト情報エントリが追加されました。
4866(S): 信頼されたフォレスト情報エントリが削除されました。
4867(S): 信頼されたフォレスト情報エントリが変更されました。