監査認可ポリシーの変更
監査認可ポリシーの変更
監査認可ポリシーの変更を使用すると、ユーザー権利ポリシーでのユーザー権利の割り当ておよび削除、セキュリティトークンオブジェクトの権限の変更、リソース属性の変更、およびファイルシステムオブジェクトの中央アクセスポリシーの変更を監査できます。
イベントボリューム: 中〜高。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強い成功 | 強い失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | IF | No | IF | No | IF – このサブカテゴリの成功監査を使用すると、ユーザー権利ポリシーの変更、リソース属性の変更、またはファイルシステムオブジェクトに適用される中央アクセスポリシーの変更に関連する情報を取得できます。ただし、AdjustPrivilegesToken API を使用してシステム特権を変更するアプリケーションやシステムサービスを使用している場合、生成されるイベント「4703(S): ユーザー権利が調整されました」の高ボリュームのため、成功監査は推奨されません。Windows 10 以降、イベント 4703 はトークン特権を動的に調整するアプリケーションやサービスによって生成されます。そのようなアプリケーションの例として、Microsoft Configuration Manager があり、定期的な間隔で WMI クエリを実行し、短期間で大量の 4703 イベントを生成します(WMI アクティビティは svchost.exe からのものとしてリストされます)。アプリケーションやサービスのいずれかが大量の 4703 イベントを生成している場合、イベント管理ソフトウェアにフィルタリングロジックがあり、繰り返し発生するイベントを自動的に破棄できる可能性があり、このカテゴリの成功監査をより簡単に扱えるようになります。このサブカテゴリには失敗イベントがないため、このサブカテゴリの失敗監査を有効にすることは推奨されません。 |
| メンバーサーバー | IF | No | IF | No | IF – このサブカテゴリの成功監査を使用すると、ユーザー権利ポリシーの変更、リソース属性の変更、またはファイルシステムオブジェクトに適用される中央アクセスポリシーの変更に関連する情報を取得できます。ただし、AdjustPrivilegesToken API を使用してシステム特権を変更するアプリケーションやシステムサービスを使用している場合、生成されるイベント「4703(S): ユーザー権利が調整されました」の高ボリュームのため、成功監査は推奨されません。Windows 10 以降、イベント 4703 はトークン特権を動的に調整するアプリケーションやサービスによって生成されます。そのようなアプリケーションの例として、Microsoft Configuration Manager があり、定期的な間隔で WMI クエリを実行し、短期間で大量の 4703 イベントを生成します(WMI アクティビティは svchost.exe からのものとしてリストされます)。アプリケーションやサービスのいずれかが大量の 4703 イベントを生成している場合、イベント管理ソフトウェアにフィルタリングロジックがあり、繰り返し発生するイベントを自動的に破棄できる可能性があり、このカテゴリの成功監査をより簡単に扱えるようになります。このサブカテゴリには失敗イベントがないため、このサブカテゴリの失敗監査を有効にすることは推奨されません。 |
| ワークステーション | IF | No | IF | No | IF – このサブカテゴリの成功監査を使用すると、ユーザー権利ポリシーの変更、リソース属性の変更、またはファイルシステムオブジェクトに適用される中央アクセスポリシーの変更に関連する情報を取得できます。ただし、AdjustPrivilegesToken API を使用してシステム特権を変更するアプリケーションやシステムサービスを使用している場合、生成されるイベント「4703(S): ユーザー権利が調整されました」の高ボリュームのため、成功監査は推奨されません。Windows 10 以降、イベント 4703 はトークン特権を動的に調整するアプリケーションやサービスによって生成されます。そのようなアプリケーションの例として、Microsoft Configuration Manager があり、定期的な間隔で WMI クエリを実行し、短期間で大量の 4703 イベントを生成します(WMI アクティビティは svchost.exe からのものとしてリストされます)。アプリケーションやサービスのいずれかが大量の 4703 イベントを生成している場合、イベント管理ソフトウェアにフィルタリングロジックがあり、繰り返し発生するイベントを自動的に破棄できる可能性があり、このカテゴリの成功監査をより簡単に扱えるようになります。このサブカテゴリには失敗イベントがないため、このサブカテゴリの失敗監査を有効にすることは推奨されません。 |
イベントリスト: