SAM の監査
SAM の監査
SAM の監査は、セキュリティ アカウント マネージャー (SAM) オブジェクトへのアクセス試行によって生成されるイベントを監査できるようにします。
セキュリティ アカウント マネージャー (SAM) は、Windows オペレーティング システムを実行しているコンピューターに存在するデータベースで、ローカル コンピューター上のユーザー アカウントおよびセキュリティ記述子を格納します。
SAM オブジェクトには次のものが含まれます:
SAM_ALIAS: ローカル グループ
SAM_GROUP: ローカル グループではないグループ
SAM_USER: ユーザー アカウント
SAM_DOMAIN: ドメイン
SAM_SERVER: コンピューター アカウント
このポリシー設定を構成すると、SAM オブジェクトにアクセスされたときに監査イベントが生成されます。成功の監査は成功した試行を記録し、失敗の監査は失敗した試行を記録します。
SAM_SERVER の SACL のみが変更可能です。
ユーザーおよびグループ オブジェクトの変更は、アカウント管理監査カテゴリによって追跡されます。ただし、十分な特権を持つユーザー アカウントは、システム内のアカウントおよびパスワード情報が格納されているファイルを変更し、アカウント管理イベントを回避する可能性があります。
イベント ボリューム: ドメイン コントローラーで高い。
| コンピューターの種類 | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメイン コントローラー | - | - | - | - | このドキュメントでは、このサブカテゴリに対する推奨事項はありません。ただし、セキュリティ アカウント マネージャー レベルで監視する必要があるものが正確にわかっている場合を除きます。 |
| メンバー サーバー | - | - | - | - | このドキュメントでは、このサブカテゴリに対する推奨事項はありません。ただし、セキュリティ アカウント マネージャー レベルで監視する必要があるものが正確にわかっている場合を除きます。 |
| ワークステーション | - | - | - | - | このドキュメントでは、このサブカテゴリに対する推奨事項はありません。ただし、セキュリティ アカウント マネージャー レベルで監視する必要があるものが正確にわかっている場合を除きます。 |
イベントリスト:
- 4661(S, F): オブジェクトへのハンドルが要求されました。