監査レジストリ
監査レジストリ
監査レジストリを使用すると、レジストリオブジェクトへのアクセス試行を監査できます。セキュリティ監査イベントは、システムアクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ生成され、要求されたアクセスの種類(読み取り、書き込み、変更など)および要求を行ったアカウントが SACL の設定と一致する場合にのみ生成されます。
成功監査が有効になっている場合、一致する SACL を持つレジストリオブジェクトに任意のアカウントが正常にアクセスするたびに監査エントリが生成されます。失敗監査が有効になっている場合、一致する SACL を持つレジストリオブジェクトにユーザーがアクセスしようとして失敗するたびに監査エントリが生成されます。
イベントボリューム: レジストリ SACL の構成方法に応じて、低から中程度。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラー | IF | IF | IF | IF | レジストリオブジェクトのセキュリティ監視ポリシーを策定し、異なるオペレーティングシステムテンプレートおよび役割に対して適切な SACL を定義することを強くお勧めします。収集された情報の使用方法と分析方法を計画していない場合は、このサブカテゴリを有効にしないでください。また、効果のない過剰な SACL を削除することも重要です。そうしないと、監査ログが無駄な情報で過負荷になります。失敗イベントは、特定のレジストリオブジェクトへのアクセスに失敗した試行を示すことができます。まず重要なコンピューターに対してこのサブカテゴリを有効にすることを検討し、それらのためのレジストリオブジェクトのセキュリティ監視ポリシーを策定してください。 |
| メンバーサーバー | IF | IF | IF | IF | |
| ワークステーション | IF | IF | IF | IF |
イベントリスト:
4663(S): オブジェクトにアクセスしようとしました。
4656(S, F): オブジェクトへのハンドルが要求されました。
4658(S): オブジェクトへのハンドルが閉じられました。
4660(S): オブジェクトが削除されました。
4657(S): レジストリ値が変更されました。
5039(-): レジストリキーが仮想化されました。
4670(S): オブジェクトの権限が変更されました。
[!NOTE] 親のサブキーを作成する際(RegCreateKey)、オブジェクトマネージャーによって新しく作成されたオブジェクトのハンドルを開くイベント(イベント 4656)が発行されることが期待されます。このイベントは、ローカルセキュリティポリシーの ローカルポリシー > 監査ポリシー で「オブジェクトアクセスの監査」が有効になっている場合にのみ表示されます。このイベントは、ローカルセキュリティポリシーの 高度な監査ポリシー構成 > オブジェクトアクセス > レジストリの監査 でレジストリ関連のイベントのみを表示するための正確に定義された設定を使用している場合には生成されません。例えば、「auditpol.exe /set /subcategory:{0CCE921E-69AE-11D9-BED3-505054503030} /success:enable」を使用してレジストリ関連の監査イベントのみを表示する設定では、このイベントは表示されません。この動作は、後のバージョンのオペレーティングシステム(Windows 11、Windows Server 2022、およびそれ以降)でのみ期待されます。以前のバージョンでは、サブキー作成中に4656イベントは生成されません。
RegSetValue、RegEnumValue、RegRenameKeyなどの操作を実行するために開いているキーオブジェクトにアクセスするためのレジストリAPIへの呼び出しは、オブジェクトにアクセスするイベント(イベント 4663)をトリガーします。例えば、regedit.exeを使用してサブキーを作成しても4663イベントはトリガーされませんが、名前を変更するとトリガーされます。