機密特権の使用を監査する
機密特権の使用を監査する
機密特権の使用を監査するには、機密特権の使用を示すイベントが含まれます。以下は機密特権のリストです:
オペレーティングシステムの一部として動作する
ファイルとディレクトリをバックアップする
ファイルとディレクトリを復元する
トークンオブジェクトを作成する
プログラムをデバッグする
委任のためにコンピュータおよびユーザーアカウントを信頼できるようにする
セキュリティ監査を生成する
認証後にクライアントを偽装する
デバイスドライバをロードおよびアンロードする
監査およびセキュリティログを管理する
ファームウェア環境値を変更する
プロセスレベルのトークンを置き換える
ファイルまたは他のオブジェクトの所有権を取得する
「ファイルとディレクトリをバックアップする」と「ファイルとディレクトリを復元する」の2つの特権の使用は、コンピュータまたはデバイスで「監査: バックアップおよび復元特権の使用を監査する」グループポリシー設定が有効になっている場合にのみイベントを生成します。このグループポリシー設定は、記録されるイベントの数が多いため、有効にすることは推奨しません。
このサブカテゴリには、ファイルシステムトランザクションマネージャからの情報イベントも含まれます。
このポリシー設定を構成すると、機密特権要求が行われたときに監査イベントが生成されます。成功監査は成功した試行を記録し、失敗監査は失敗した試行を記録します。
イベントボリューム: 高。
| コンピュータの種類 | 一般的な成功 | 一般的な失敗 | 強化された成功 | 強化された失敗 | コメント |
|---|---|---|---|---|---|
| ドメインコントローラ | はい | はい | はい | はい | 特にユーザーアカウントによって機密特権が使用された場合、このサブカテゴリのイベントの成功と失敗を追跡することをお勧めします。 |
| メンバーサーバー | はい | はい | はい | はい | 特にユーザーアカウントによって機密特権が使用された場合、このサブカテゴリのイベントの成功と失敗を追跡することをお勧めします。 |
| ワークステーション | はい | はい | はい | はい | 特にユーザーアカウントによって機密特権が使用された場合、このサブカテゴリのイベントの成功と失敗を追跡することをお勧めします。 |
イベントリスト:
[!NOTE] 監査ファイルシステムサブカテゴリのイベント「4985(S): トランザクションの状態が変更されました」もこのサブカテゴリで生成されます。イベント4985の説明については、監査ファイルシステムサブカテゴリを参照してください。