監査ファイルシステム
監査ファイルシステム
[!NOTE] 古いオペレーティングシステムバージョンへの適用性の詳細については、記事 監査ファイルシステム を参照してください。
監査ファイルシステムは、ユーザーがファイルシステムオブジェクトにアクセスしようとしたときにオペレーティングシステムが監査イベントを生成するかどうかを決定します。
監査イベントは、システムアクセス制御リスト (SACL) が設定されているオブジェクトに対してのみ生成され、要求されたアクセスの種類(書き込み、読み取り、変更など)および要求を行ったアカウントが SACL の設定と一致する場合にのみ生成されます。
成功監査が有効になっている場合、対応する SACL を持つファイルシステムオブジェクトに任意のアカウントが正常にアクセスするたびに監査エントリが生成されます。失敗監査が有効になっている場合、対応する SACL を持つファイルシステムオブジェクトにユーザーがアクセスしようとして失敗するたびに監査エントリが生成されます。
これらのイベントは、機密性が高いまたは価値のあるファイルオブジェクトのアクティビティを追跡するために不可欠です。
イベントボリューム: ファイルシステム SACL の設定方法によって異なります。
デフォルトのファイルシステム SACL では監査イベントは生成されません。
このサブカテゴリを使用すると、ユーザーがファイルシステムオブジェクトにアクセスしようとする試み、ファイルシステムオブジェクトの削除および権限変更操作、ハードリンク作成アクションを監査できます。
唯一のイベント「4658: オブジェクトへのハンドルが閉じられました」は、監査ハンドル操作 サブカテゴリに依存します(成功監査が有効である必要があります)。その他のすべてのイベントは追加の設定なしで生成されます。
| コンピュータの種類 | 一般的な成功 | 一般的な失敗 | 強い成功 | 強い失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | IF | IF | IF | IF | ファイルシステムセキュリティ監視ポリシーを策定し、異なるオペレーティングシステムテンプレートおよび役割に対して適切なSACLを定義することを強くお勧めします。収集した情報の使用方法と分析方法を計画していない場合は、このサブカテゴリを有効にしないでください。また、効果のない余分なSACLを削除することも重要です。そうしないと、監査ログが無駄な情報で過負荷になります。失敗イベントは、特定のファイルシステムオブジェクトへのアクセスが失敗した試行を示すことができます。まず、重要なコンピュータに対してファイルシステムセキュリティ監視ポリシーを策定した後、このサブカテゴリを有効にすることを検討してください。 |
| メンバーサーバー | IF | IF | IF | IF | |
| ワークステーション | IF | IF | IF | IF |
イベントリスト: