セキュリティシステム拡張の監査
セキュリティシステム拡張の監査
セキュリティシステム拡張の監査には、認証パッケージ、通知パッケージ、またはセキュリティパッケージの読み込みに関する情報、および信頼されたログオンプロセス登録イベントに関する情報が含まれます。
オペレーティングシステムにおけるセキュリティシステム拡張の変更には、次の活動が含まれます:
セキュリティ拡張コードが読み込まれる(例:認証、通知、またはセキュリティパッケージ)。セキュリティ拡張コードはローカルセキュリティ機関に登録され、ログオン試行の認証、ログオン要求の送信、およびアカウントまたはパスワードの変更の通知に使用され、信頼されます。この拡張コードの例としては、KerberosやNTLMなどのセキュリティサポートプロバイダーがあります。
サービスがインストールされる。サービスがサービスコントロールマネージャに登録されると、監査ログが生成されます。監査ログには、サービス名、バイナリ、タイプ、開始タイプ、およびサービスアカウントに関する情報が含まれます。
セキュリティシステム拡張やサービスのインストールまたは読み込みの試行は、セキュリティ侵害を示す可能性のある重要なシステムイベントです。
イベントボリューム: 低。
| コンピュータタイプ | 一般的な成功 | 一般的な失敗 | 強力な成功 | 強力な失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラ | はい | いいえ | はい | いいえ | このサブカテゴリの成功監査を推奨する主な理由は「4697(S): システムにサービスがインストールされました。」です。他のイベントについては、許可されたセキュリティ拡張(認証パッケージ、ログオンプロセス、通知パッケージ、およびセキュリティパッケージ)の許可リストを監視することを強くお勧めします。そうでなければ、これらのイベントから有用な情報を引き出すのは難しいです。イベント4611は通常、「SYSTEM」が**「Subject」**フィールドの値であるべきです。このサブカテゴリには失敗イベントがないため、失敗監査を有効にする推奨事項はありません。 |
| メンバーサーバー | はい | いいえ | はい | いいえ | このサブカテゴリの成功監査を推奨する主な理由は「4697(S): システムにサービスがインストールされました。」です。他のイベントについては、許可されたセキュリティ拡張(認証パッケージ、ログオンプロセス、通知パッケージ、およびセキュリティパッケージ)の許可リストを監視することを強くお勧めします。そうでなければ、これらのイベントから有用な情報を引き出すのは難しいです。イベント4611は通常、「SYSTEM」が**「Subject」**フィールドの値であるべきです。このサブカテゴリには失敗イベントがないため、失敗監査を有効にする推奨事項はありません。 |
| ワークステーション | はい | いいえ | はい | いいえ | このサブカテゴリの成功監査を推奨する主な理由は「4697(S): システムにサービスがインストールされました。」です。他のイベントについては、許可されたセキュリティ拡張(認証パッケージ、ログオンプロセス、通知パッケージ、およびセキュリティパッケージ)の許可リストを監視することを強くお勧めします。そうでなければ、これらのイベントから有用な情報を引き出すのは難しいです。イベント4611は通常、「SYSTEM」が**「Subject」**フィールドの値であるべきです。このサブカテゴリには失敗イベントがないため、失敗監査を有効にする推奨事項はありません。 |
イベントリスト: