中央アクセス ポリシーおよびルール定義の監視
中央アクセス ポリシーおよびルール定義の監視
IT プロフェッショナル向けのこの記事では、動的アクセス制御オブジェクトを監視するために高度なセキュリティ監査オプションを使用する場合に、中央アクセス ポリシーおよび中央アクセス ルール定義の変更を監視する方法について説明します。
中央アクセス ポリシーおよびルールは、複数のファイル サーバー上のファイルに対するアクセス許可を決定するため、これらの変更を監視することが重要です。ユーザー クレームおよびデバイス クレーム定義と同様に、中央アクセス ポリシーおよびルール定義は Active Directory ドメイン サービス (AD DS) に存在します。これらは Active Directory の他のオブジェクトと同様に監視できます。これらのポリシーおよびルールは、動的アクセス制御の展開において重要な要素です。これらは AD DS に保存されているため、他のネットワーク オブジェクトよりも改ざんされにくいですが、セキュリティ監査における潜在的な変更を監視し、ポリシーが適用されていることを確認することが重要です。
この記事の手順に従って、中央アクセス ポリシーおよび中央アクセス ルール定義の変更を監視するための設定を構成し、変更を確認します。これらの手順は、中央アクセス ポリシー、クレーム、およびその他のコンポーネントを含む動的アクセス制御をネットワークに構成および展開したことを前提としています。まだネットワークに動的アクセス制御を展開していない場合は、中央アクセス ポリシーの展開 (デモンストレーション手順) を参照してください。
[!NOTE] サーバーの動作は、インストールされているオペレーティング システムのバージョンおよびエディション、アカウントの権限、およびメニュー設定によって異なる場合があります。
中央アクセス ポリシーおよびルール定義の変更を監視するための設定を構成する
- ドメイン管理者の資格情報を使用してドメイン コントローラーにサインインします。
- サーバー マネージャーで、ツールをポイントし、グループ ポリシーの管理を選択します。
- コンソール ツリーで、既定のドメイン コントローラー グループ ポリシー オブジェクトを右クリックし、編集を選択します。
- コンピューターの構成をダブルクリックし、セキュリティの設定を選択します。詳細監査ポリシーの構成およびシステム監査ポリシーを展開し、DS アクセスを選択して、ディレクトリ サービスの変更を監査するをダブルクリックします。
- 次の監査イベントを構成するおよび成功チェック ボックス (必要に応じて失敗チェック ボックス) を選択します。次に、OKを選択します。
- グループ ポリシー管理エディターを閉じます。
- Active Directory 管理センターを開きます。
- 動的アクセス制御の下で、中央アクセス ポリシーを右クリックし、プロパティを選択します。
- セキュリティ タブを選択し、詳細設定を選択して詳細セキュリティ設定ダイアログ ボックスを開き、監査タブを選択します。
- 追加を選択し、コンテナーのセキュリティ監査設定を追加して、すべてのセキュリティ プロパティ ダイアログ ボックスを閉じます。
中央アクセス ポリシーおよび中央アクセス ルール定義の変更を監視するための設定を構成した後、変更が監視されていることを確認します。
中央アクセス ポリシーおよびルール定義の変更が監視されていることを確認する
- ドメイン管理者の資格情報を使用してドメイン コントローラーにサインインします。
- Active Directory 管理センターを開きます。
- 動的アクセス制御の下で、中央アクセス ポリシーを右クリックし、プロパティを選択します。
- セキュリティ タブを選択し、詳細設定を選択して詳細セキュリティ設定ダイアログ ボックスを開き、監査タブを選択します。
- 追加を選択し、コンテナーのセキュリティ監査設定を追加して、すべてのセキュリティ プロパティ ダイアログ ボックスを閉じます。
- 中央アクセス ポリシーコンテナーで、新しい中央アクセス ポリシーを追加する (または既存のものを選択する)。タスクペインでプロパティを選択し、1 つ以上の属性を変更します。
- OKを選択し、Active Directory 管理センターを閉じます。
- サーバー マネージャーで、ツールを選択し、イベント ビューアーを選択します。
- Windows ログを展開し、セキュリティを選択します。セキュリティ ログにイベント 4819 が表示されることを確認します。