Active Directory の侵害の兆候を監視する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

第 5 の法則: 永遠の警戒は安全の代償である。 - セキュリティ管理に関する 10 の不変の法則

監視システム ソリッド イベント ログとは、どのようなセキュリティで保護された Active Directory 設計の重要な部分です。 多くのコンピューター セキュリティ侵害は、ターゲットで適切なイベント ログの監視とアラートが有効になっていれば、早期に検出できます。 独立したレポートは、この結論を長い間サポートができます。 たとえば、 2009 Verizon データ侵害レポート 状態。

"イベントの監視とログ分析の明らかな ineffectiveness は引き続きで若干異なります。 検出するための機会があります。調査メモ被害者の 66% をされていたこのようなリソースを分析の違反を検出するには、そのログ内で使用できる十分な証拠であることです。"

一貫性のある弱点は、アクティブなイベント ログの監視がないことは、多くの企業のセキュリティ防御計画に残ります。 2012 Verizon データが漏洩したレポート 見つかったこと侵害の 85% は、注意をひく数週間かかりました、被害者の 84% いた違反の証拠がイベント ログに記録します。

Windows の監査ポリシー

Microsoft 公式のエンタープライズ サポート ブログへのリンクを次に示します。 これらのブログのコンテンツは、Active Directory インフラストラクチャのセキュリティの強化に役立つ監査についてのアドバイス、ガイダンス、推奨事項を提供し、監査ポリシーを設計する際の貴重なリソースとなります。

• マジックは、グローバル オブジェクト アクセスの監査 - Windows 7 および Windows Server 2008 に追加された拡張監査ポリシー構成というコントロール メカニズムについて説明します。これを使用すると、スクリプトや auditpol.exe で苦労することなく、簡単に監査対象のデータの種類を設定できます。
• Windows 2008 での監査の変更の概要 - Windows Server 2008 での監査の変更について紹介します。
• Vista および 2008 での便利な監査のテクニック - 環境内で起こっている問題をトラブルシューティングしたり、何が起こっているのかを把握したりするために使用できる、Windows Vista および Windows Server 2008 の便利な監査機能について説明します。
• Windows Server 2008 と Windows Vista の監査のワンストップ ショップ - 監査機能、および Windows Server 2008 と Windows Vista に含まれる情報のコンパイルが含まれています。

Windows Server 2008 での監査については、Windows の Windows 8 および Windows Server 2012 では、監査の強化点については、AD DS に関する情報、次のリンクが提供されます。

• セキュリティ監査の新新機能 - Windows 8 および Windows Server 2012 の新しいセキュリティ監査機能の概要を説明します。
• AD DS 監査ステップ バイ ステップ ガイド - Windows Server 2008 の新しい Active Directory Domain Services (AD DS) の監査機能について説明します。 また、この新しい機能を実装する手順も示します。

Windows の監査カテゴリ

Windows Vista および Windows Server 2008 では、前に、Windows には、9 個までの監査ポリシー カテゴリのイベント ログが必要があります。

• アカウント ログオン イベント
• アカウント管理
• ディレクトリ サービスのアクセス
• ログオン イベント
• オブジェクト アクセス
• ポリシーの変更
• 特権の使用
• プロセスの追跡
• システム イベント

これら 9 つの従来の監査カテゴリには、監査ポリシーが構成されています。 各監査ポリシー カテゴリを成功、失敗または成功と失敗に有効にできるイベントです。 次のセクションでは、その説明が含まれています。

監査ポリシー カテゴリの説明

監査ポリシーのカテゴリには、次の種類のイベント ログ メッセージが有効にします。

アカウント ログオン イベントの監査

監査アカウントのログオン イベントでは、別のコンピューターがアカウントの検証に使用されているときに、あるコンピューターに対してログインまたはログオフするセキュリティ プリンシパル (ユーザー、コンピューター、サービス アカウントなど) の各インスタンスがレポートされます。 ドメイン セキュリティ プリンシパルのアカウントがドメイン コント ローラーに対する認証は、[アカウント ログオン イベントが生成されます。 ローカル コンピューター上のローカル ユーザーの認証により、ローカル セキュリティ ログに記録されるログオン イベントが生成されます。 アカウント ログオフ イベントは記録されません。

このカテゴリを生成「余分」なので、Windows が頻繁にログオンするアカウントを行わなくても、ローカルおよびリモート コンピューターから通常業務の過程でします。 これは不便ではありますが、すべてのセキュリティ プランには、この監査カテゴリの成功と失敗を含める必要があります。

アカウント管理の監査

この監査設定を使うと、ユーザーとグループの管理を追跡するかどうかを決定します。 たとえば、ユーザーまたはコンピューター アカウント、セキュリティ グループ、配布グループが作成、変更、または削除されたときは、ユーザーおよびグループを追跡する必要があります。 ユーザーまたはコンピューター アカウントが名前変更、無効化、または有効化されたとき、およびユーザーまたはコンピューター パスワードが変更されたときも、ユーザーおよびグループを追跡する必要があります。 ユーザーまたはグループの追加またはその他のグループからの削除について、イベントを生成できます。

ディレクトリ サービス アクセスを監査します。

このポリシー設定では、Active Directory オブジェクトにセキュリティ プリンシパルのアクセスを監査する独自の指定したシステム アクセス制御リスト (SACL) がいるかどうかを決定します。 一般に、このカテゴリは、ドメイン コント ローラーでのみ使用する必要があります。 この設定を有効にすると、多数の "ノイズ" が生成されます。

ログオン イベントの監査

ローカル コンピューターに対するローカルのセキュリティ プリンシパルの認証は、ログオン イベントが生成されます。 ログオン イベントは、ローカル コンピューターで実行するドメイン ログオンを記録します。 アカウント ログオフ イベントは生成されません。 ログオン イベントを有効にすると、たくさんの "ノイズ" が生成されますが、セキュリティ監査計画ではこのポリシーを既定で有効にする必要があります。

オブジェクト アクセスの監査

オブジェクトへのアクセスには、監査を有効に、後で定義済みのオブジェクトにアクセスして (例、Opened、読み取り、Renamed、削除済み]、または終了) ときにイベントを生成できます。 メインの監査カテゴリが有効にした後、管理者に個別に対象のオブジェクトが持つ監査を有効を定義する必要があります。 多くの Windows システム オブジェクトの監査が有効、管理者は、いずれかが定義する前にイベントを生成する通常開始はこのカテゴリを有効にするように搭載されています。

このカテゴリは、非常に "うるさい" ため、オブジェクト アクセスごとに 5 から 10 個のイベントが生成されます。 管理者を初めて使用すると、オブジェクトの監査役に立つ情報を取得することが困難とがあります。 また必要なときにのみ有効する必要があります。

監査ポリシーの変更

このポリシー設定では、ユーザー権利の割り当てのポリシー、Windows ファイアウォールのポリシー、信頼ポリシーまたは監査ポリシーへの変更に対する変更がすべてのインシデントを監査するかどうかを決定します。 このカテゴリは、すべてのコンピューターで有効にする必要があります。 生成される "ノイズ" はごくわずかです。

特権使用の監査

多数のユーザー権限と Windows (たとえば、オペレーティング システムの一部として動作する、バッチ ジョブとしてログオン) のアクセス許可があります。 このポリシー設定では、ユーザー権限、または特権を行使するセキュリティ プリンシパルの各インスタンスを監査するかどうかを決定します。 有効にする多数の「ノイズ」ですが、このカテゴリとは、高度な特権を使用してセキュリティ プリンシパル アカウントの追跡に役立ちます。

プロセス追跡の監査

このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの重複、および間接的なオブジェクトへのアクセスなどのイベントの情報を追跡する詳細なプロセスを監査するかどうかを決定します。 悪意のあるユーザーと使用されるプログラムを追跡するのに便利です。

監査プロセスの追跡を有効にすると、大量のイベントが生成されるため、通常は [監査しない] に設定します。 ただし、この設定では、開始されたプロセスの詳細なログからの応答中に非常に大きな利点と、起動された時刻を指定できます。 ドメイン コント ローラーとその他の単一ロール インフラストラクチャ サーバーの場合は、このカテゴリは常に安全にすることができます。 単一ロールのサーバーでは、通常の処理の実行中に多数のプロセス追跡トラフィックが生成されることはありません。 そのため、発生した場合は、承認されていないイベントをキャプチャが有効にできます。

システム イベントの監査

システム イベントは、汎用のキャッチ オール カテゴリほとんどであり、コンピューター、そのシステムのセキュリティまたはセキュリティ ログに影響するさまざまなイベントを登録します。 コンピューターのシャット ダウンと再起動、電源障害が発生、システム時刻の変更、認証パッケージの初期化、監査ログ {アマゾン}、偽装問題、および他の一般的なイベントのホストのイベントが含まれています。 一般に、この監査カテゴリを有効にすると、たくさんの "ノイズ" が生成されますが、非常に便利なイベントも十分に生成されるため、無効にすることはお勧めしません。

高度な監査ポリシー

以降では、Windows Vista および Windows Server 2008 は、Microsoft は、各メイン監査カテゴリの下のサブカテゴリを作成することでイベント ログのカテゴリの選択を行う方法を向上します。 サブカテゴリは、はるかに細かい単位の場合よりも主なカテゴリを使用して、それ以外の場合に監査できるようにします。 サブカテゴリを使用すると、特定のメイン カテゴリの一部のみを有効にし、不要なイベントの生成をスキップできます。 各監査ポリシー サブカテゴリは、"成功"、"失敗"、または "成功および失敗" イベントに対して有効にすることができます。

使用可能なすべての監査サブカテゴリの一覧を表示するには、グループ ポリシー オブジェクトの詳細な監査ポリシー コンテナーを確認するか、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 または Windows Vista を実行している任意のコンピューターで次のコマンドを入力します。

auditpol /list /subcategory:*

Windows Server 2012、Windows Server 2008 R2、または Windows 2008 を実行するコンピューターで現在構成されている監査サブカテゴリの一覧を取得するには、次のコマンドを入力します。

auditpol /get /category:*

次のスクリーン ショットでは、現在の監査ポリシーの一覧を表示する auditpol.exe の例です。

Note

グループ ポリシーは、すべての有効な監査ポリシーの状態が auditpol.exe は常に正確に報告していません。 参照してください Windows 7 および 2008 R2 で効果的な監査ポリシーの取得 詳細です。

各主なカテゴリには、複数のサブカテゴリがあります。 カテゴリ、サブカテゴリと、その機能の説明の一覧を以下に示します。

監査サブカテゴリの説明

監査ポリシーのサブカテゴリには、次の種類のイベント ログ メッセージが有効にします。

アカウント ログオン

資格情報の確認

このサブカテゴリは、ユーザー アカウントのログオン要求を送信する資格情報を検証テストの結果を報告します。 これらのイベントは資格情報の権限のあるコンピューターで発生します。 ドメイン アカウントに対してはドメイン コント ローラーが権限を持ち、ローカル アカウントに対してはローカル コンピューターが権限を持ちます。

ドメイン環境でアカウント ログオン イベントのほとんどは、ドメイン アカウントの権限を持つドメイン コント ローラーのセキュリティ ログに記録されます。 ただし、これらのイベントではローカル アカウントを使用してログオンする場合、組織内の他のコンピューターで発生します。

[Kerberos サービス チケット操作]

このサブカテゴリは、ドメイン アカウントに対する権限を持つドメイン コント ローラーで Kerberos チケット要求のプロセスによって生成されたイベントを報告します。

Kerberos 認証サービス

このサブカテゴリは、Kerberos 認証サービスによって生成されたイベントを報告します。 これらのイベントは資格情報の権限のあるコンピューターで発生します。

その他のアカウント ログオン イベント

このサブカテゴリは、資格情報の検証や Kerberos チケットに関係のないユーザー アカウントのログオン要求に対して送信された資格情報に応答して発生するイベントを報告します。 これらのイベントは資格情報の権限のあるコンピューターで発生します。 ドメイン アカウントのドメイン コント ローラーは、ローカル コンピューターでは権限を持つローカル アカウントの場合は、権限があるです。

ドメイン環境でアカウント ログオン イベントのほとんどは、ドメイン アカウントの権限を持つドメイン コント ローラーのセキュリティ ログに記録されます。 ただし、これらのイベントではローカル アカウントを使用してログオンする場合、組織内の他のコンピューターで発生します。 例を次に含めることができます。

• リモート デスクトップ サービス セッションの切断
• 新しいリモート デスクトップ サービス セッション
• ロックとワークステーションをロック解除
• スクリーン セーバーを呼び出す
• スクリーン セーバーを閉じる
• Kerberos の検出はリプレイ攻撃を Kerberos 要求と同じ情報を 2 回受信
• ユーザーまたはコンピューター アカウントに付与されたワイヤレス ネットワークへのアクセス
• ワイヤード (有線) 802.1 x ネットワーク ユーザーまたはコンピューター アカウントに与えられます

アカウント管理

ユーザー アカウントの管理

このサブカテゴリは、次のようなユーザー アカウント管理の各イベントを報告します。

• ユーザー アカウントの作成、変更、または削除
• ユーザー アカウントの名前変更、無効化、または有効化
• パスワードの設定または変更

この監査ポリシー設定を有効にすると、管理者ユーザー アカウントを悪意のある、偶発的なおよび承認済みの作成を検出するイベントの追跡ことができます。

コンピューター アカウントの管理

このサブカテゴリは、コンピューター アカウントの作成時、変更、削除、名前を変更、無効になっている、または有効になっているなどのコンピュータ アカウントの管理の各イベントを報告します。

セキュリティ グループの管理

このサブカテゴリは、セキュリティ グループを作成、変更、または削除するとき、またはメンバーを追加またはセキュリティ グループから削除する場合など、セキュリティ グループの管理の各イベントを報告します。 この監査ポリシーの設定が有効になっている場合、管理者には、セキュリティ グループのアカウントの作成を悪意のある、偶発的なおよび承認されたを検出イベントの追跡ことができます。

配布グループの管理

このサブカテゴリは、配布グループを作成、変更、または削除するとき、またはメンバーを追加または配布グループから削除する場合など、配布グループ管理の各イベントを報告します。 この監査ポリシーの設定が有効になっている場合、管理者には、グループ アカウントの悪意のある、偶発的なおよび承認済みの作成を検出するイベントの追跡ことができます。

アプリケーション グループの管理

このサブカテゴリは、アプリケーション グループを作成、変更、または削除するとき、またはメンバーを追加またはアプリケーション グループから削除する場合など、コンピューターにアプリケーション グループの管理の各イベントを報告します。 この監査ポリシーの設定が有効になっている場合、管理者には、アプリケーション グループのアカウントの悪意のある、偶発的なおよび承認済みの作成を検出するイベントの追跡ことができます。

その他のアカウント管理イベント

このサブカテゴリは、その他のアカウント管理イベントを報告します。

詳細なプロセスの追跡

詳細なプロセス追跡の監視には、プロセスの作成と終了の両方が含まれます。

プロセス作成

このサブカテゴリは、プロセスの作成と、ユーザーまたは作成時に使用するプログラムの名前を報告します。

プロセスの終了

このサブカテゴリは、プロセスが終了するときに報告します。

DPAPI アクティビティ

このサブカテゴリは、暗号化または復号化は、data protection アプリケーション プログラミング インターフェイス (DPAPI) を呼び出すを報告します。 DPAPI を使用して、保存されたパスワードなどの機密情報と重要な情報を保護します。

RPC イベント

このサブカテゴリのレポートのリモート プロシージャは、(RPC) 接続イベントを呼び出します。

ディレクトリ サービスのアクセス

ディレクトリ サービスのアクセス

このサブカテゴリは、AD DS オブジェクトにアクセスする場合に報告します。 構成済みの Sacl のオブジェクトのみでは、SACL エントリに一致するようにアクセスすると生成、およびのみである監査イベントを発生します。 これらのイベントは、以前のバージョンの Windows Server ディレクトリ サービス アクセス イベントに似ています。 このサブカテゴリは、ドメイン コント ローラーにのみ適用されます。

ディレクトリ サービスを変更します。

このサブカテゴリは、AD DS 内のオブジェクトへの変更を報告します。 報告される変更の種類を作成、変更、移動、およびオブジェクトに対して実行される操作の削除を取り消します。 ディレクトリ サービスの変更の監査、必要に応じて、変更されたオブジェクトの変更されたプロパティの新旧の値を示します。 Sacl を持つオブジェクトだけでは、的に、生成された唯一の SACL エントリに一致するようにアクセスすると、監査イベントを発生します。 一部のオブジェクトとプロパティでは、スキーマ内のオブジェクト クラスに対する設定のために、監査イベントが生成されません。 このサブカテゴリは、ドメイン コント ローラーにのみ適用されます。

ディレクトリ サービスのレプリケーション

このサブカテゴリは、2 つのドメイン コント ローラー間のレプリケーションの開始し、終了を報告します。

詳細なディレクトリ サービスのレプリケーション

このサブカテゴリは、詳細な情報については、ドメイン コント ローラー間でレプリケートを報告します。 これらのイベントは、ボリュームで非常に高くなることができます。

ログオン/ログオフ

ログオン

このサブカテゴリは、ユーザーがシステムにログオンしようとしたときに報告します。 これらのイベントは、アクセスされるコンピューターで発生します。 対話型ログオンの場合、これらのイベントの生成は、ユーザーのログオン先のコンピューターで発生します。 ネットワーク ログオンでは、共有にアクセスする場所を受け取り、これらのイベントは、アクセスされるリソースをホストするコンピューターで生成します。 この設定が [監査しない] に構成されている場合、どのユーザーが組織のコンピューターにアクセスしかた、またはアクセスしようとしたかを判定することが困難または不可能になります。

ネットワーク ポリシー サーバー

このサブカテゴリは、RADIUS (IAS) とネットワーク アクセス保護 (NAP) のユーザー アクセスの要求によって生成されたイベントを報告します。 これらの要求を指定できます Grant, 、Deny, 、破棄, 、検疫, 、ロック, 、および ロックの解除します。 この設定を監査すると、NPS および IAS サーバー上のレコードが中程度または高いボリュームが発生します。

IPsec メイン モード

このサブカテゴリは、メイン モード ネゴシエーション中に、インターネット キー交換 (IKE) プロトコルと認証済みインターネット プロトコル (AuthIP) の結果を報告します。

IPsec の拡張モード

このサブカテゴリは、拡張モードのネゴシエーション中に、AuthIP の結果を報告します。

その他のログオンとログオフ イベント

このサブカテゴリは、その他のログオンとログオフ関連のイベントをリモート デスクトップ サービス セッションの接続が切断し、再接続するには、RunAs を使用して、別のアカウントでプロセスを実行してロックとワークステーションをロック解除などを報告します。

ログオフ

このサブカテゴリは、ユーザーが、システムをログオフするときに報告します。 これらのイベントは、アクセスされるコンピューターで発生します。 対話型ログオンの場合、これらのイベントの生成は、ユーザーのログオン先のコンピューターで発生します。 ネットワーク ログオンでは、共有にアクセスする場所を受け取り、これらのイベントは、アクセスされるリソースをホストするコンピューターで生成します。 この設定が [監査しない] に構成されている場合、どのユーザーが組織のコンピューターにアクセスしかた、またはアクセスしようとしたかを判定することが困難または不可能になります。

アカウントのロックアウト

このサブカテゴリは、多数の失敗したログオン試行の結果として、ユーザーのアカウントがロックアウトされた場合に報告します。

IPsec クイック モード

このサブカテゴリは、クイック モード ネゴシエーション中に、IKE プロトコルと AuthIP の結果を報告します。

特別なログオン

このサブカテゴリは、特別なログオンを使用する場合に報告します。 特別なログオンは、権限を持つ管理者と同じプロセスをより高いレベルに昇格するために使用するログオンです。

ポリシーの変更

監査ポリシーの変更

このサブカテゴリは、SACL の変更を含む監査ポリシーの変更を報告します。

認証ポリシーの変更

このサブカテゴリは、認証ポリシーの変更を報告します。

承認ポリシーの変更

このサブカテゴリは、(DACL) のアクセス許可の変更を含む承認ポリシーの変更を報告します。

ルール レベル ポリシーの変更は MPSSVC

このサブカテゴリは、Microsoft Protection Service (MPSSVC.exe) で使用されるポリシー規則の変更を報告します。 このサービスは、Windows ファイアウォールが使用されます。

フィルタ リング プラットフォームのポリシーの変更

このサブカテゴリは、追加および wfp を基盤としてスタートアップ フィルターなどのオブジェクトの削除を報告します。 これらのイベントは、ボリュームで非常に高くなることができます。

その他のポリシーの変更イベント

このサブカテゴリは、他の種類のトラステッド プラットフォーム モジュール (TPM) または暗号化サービス プロバイダーの構成などのセキュリティ ポリシーの変更を報告します。

特権の使用

特権の使用は、機密性の高い特権と機密性のない特権の両方が対象です。

機密性の高い特権の使用

このサブカテゴリの報告時にユーザー アカウントまたはサービスは、機密性の高い特権を使用します。 機密性の高い特権には、次のユーザー権限が含まれます。

• オペレーティング システムの一部として機能
• ファイルとディレクトリのバックアップ
• トークン オブジェクトの作成、プログラムのデバッグ
• コンピューターとユーザー アカウントに委任時の信頼を付与
• セキュリティ監査の生成、認証後にクライアントを偽装する
• デバイス ドライバーのロードとアンロード
• 監査ログとセキュリティ ログの管理
• ファームウェア環境値の修正
• プロセス レベルのトークンの置き換え、ファイルとディレクトリの復元
• ファイルとその他のオブジェクトの所有権を取得する。

このサブカテゴリを監査すると、大量のイベントが作成されます。

機密の特権の使用

このサブカテゴリの報告時にユーザー アカウントまたはサービスが機密の特権を使用します。 機密性のない特権には、次のユーザー権限が含まれます。

• 資格情報マネージャーに信頼された呼び出し側としてアクセス
• ネットワークからこのコンピューターにアクセスする
• ドメインにワークステーションを追加
• プロセスのメモリ クォータの増加
• ローカル ログオンを許可
• リモート デスクトップ サービスを使ったログオンを許可
• 走査チェックのバイパス
• システム時刻の変更
• ページ ファイルの作成
• グローバル オブジェクトの作成
• 永続的共有オブジェクトの作成
• シンボリック リンクの作成
• ネットワークからこのコンピューターへのアクセスを拒否する
• バッチ ジョブとしてのログオン権限を拒否する
• サービスとしてのログオン権限を拒否する
• ローカルでのログオンを拒否する
• リモート デスクトップ サービスを使ったログオンを拒否
• リモート コンピューターからの強制シャットダウン
• プロセス ワーキング セットの増加
• スケジューリング優先順位の繰り上げ
• メモリ内のページのロック
• バッチ ジョブとしてログオンする
• サービスとしてログオン
• オブジェクト ラベルの変更
• ボリュームの保守タスクを実行
• 単一プロセスのプロファイル
• システム パフォーマンスのプロファイル
• ドッキング ステーションからコンピューターを削除
• システムのシャットダウン
• ディレクトリ サービス データを同期する

このサブカテゴリを監査すると、非常に大量のイベントが作成されます。

その他の特権の使用イベント

このセキュリティ ポリシーの設定は現在は使用されません。

オブジェクト アクセス

オブジェクト アクセス カテゴリには、ファイル システムとレジストリのサブカテゴリが含まれます。

ファイル システム

このサブカテゴリは、ファイル システム オブジェクトがアクセスしたときに報告します。 Sacl でファイル システム オブジェクトのみ的に、生成された唯一の SACL エントリに一致するようにアクセスすると、監査イベントが発生します。 このポリシー設定自体により、イベントが監査されることはありません。 指定したシステム アクセス制御リスト (SACL) をファイル システム オブジェクトにアクセスするユーザーのイベントを監査するかどうかを決定して効果的に監査の有効化を実行します。

オブジェクト アクセスの監査設定が構成した場合、 成功, 、監査エントリが生成するたびに、ユーザーは、独自の sacl が指定したオブジェクトを正常にアクセスします。 このポリシー設定が構成した場合、 エラー, 、監査エントリをユーザーが独自の sacl が指定したオブジェクトにアクセスするために失敗するたびに生成します。

レジストリ

このサブカテゴリは、レジストリ オブジェクトがアクセスしたときに報告します。 Sacl を持つレジストリ オブジェクトだけでは、SACL エントリに一致するようにアクセスすると生成、およびのみである監査イベントを発生します。 このポリシー設定自体により、イベントが監査されることはありません。

カーネル オブジェクト

このサブカテゴリは、プロセスとミュー テックスなどのカーネル オブジェクトがアクセスしたときに報告します。 Sacl でカーネル オブジェクトのみ的に、生成された唯一の SACL エントリに一致するようにアクセスすると、監査イベントが発生します。 通常カーネル オブジェクトがのみ与えられます Sacl AuditBaseObjects または AuditBaseDirectories 監査オプションが有効になっている場合。

SAM

このサブカテゴリは、ローカル セキュリティ アカウント マネージャー (SAM) 認証のデータベース オブジェクトがアクセスしたときに報告します。

証明書サービス

このサブカテゴリは、証明書サービスの操作が実行されるときに報告します。

生成されたアプリケーション

このサブカテゴリは、アプリケーションが Windows のアプリケーション プログラミング インターフェイス (Api) の監査を使用して、監査イベントを生成しようとした場合に報告します。

操作を処理します。

このサブカテゴリは、オブジェクトへのハンドルを開くまたは閉じるときに報告します。 Sacl を持つオブジェクトだけを生成し、実行しようとしたハンドルの操作には、SACL のエントリと一致する場合にのみにこれらのイベントが発生します。 操作イベントの処理は (ファイル システムやレジストリなど) に対応するオブジェクトのアクセス サブカテゴリが有効になっているオブジェクトの種類に対してのみ生成されます。

ファイル共有

このサブカテゴリは、ファイル共有にアクセスする場合に報告します。 このポリシー設定自体により、イベントが監査されることはありません。 指定したシステム アクセス制御リスト (SACL) を持つファイル共有のオブジェクトにアクセスするユーザーのイベントを監査するかどうかを決定して効果的に監査の有効化を実行します。

フィルタ リング プラットフォームのパケットのドロップ

このサブカテゴリは、Windows フィルタ リング プラットフォーム (WFP) でパケットをドロップしたときに報告します。 これらのイベントは、ボリュームで非常に高くなることができます。

プラットフォームの接続をフィルター処理

このサブカテゴリは、接続を許可または WFP によってブロックされているときに報告します。 これらのイベントがボリュームに多くなります。

その他のオブジェクト アクセス イベント

このサブカテゴリは、他のタスク スケジューラ ジョブ、COM + オブジェクトなどのオブジェクトのアクセスに関連するイベントを報告します。

システム

セキュリティ状態の変更

このサブカテゴリは、セキュリティ サブシステムが開始および停止など、システムのセキュリティの状態の変更を報告します。

システムのセキュリティ拡張機能

このサブカテゴリは、セキュリティ サブシステムによって認証パッケージなどの拡張機能のコードの読み込みを報告します。

システムの整合性

このサブカテゴリは、セキュリティ サブシステムの整合性の違反を報告します。

IPsec ドライバー

このサブカテゴリは、インターネット プロトコル セキュリティ (IPsec) ドライバーのアクティビティを報告します。

他のシステム イベント

このサブカテゴリは、他のシステム イベントを報告します。

詳細については、サブカテゴリの説明を参照してください、 Microsoft セキュリティ コンプライアンス マネージャー ツールします。

各組織は、以前の管理対象のカテゴリとサブカテゴリを確認し、最適な環境に適合するものを有効にする必要があります。 監査ポリシーに対する変更は、実稼働環境で展開する前に常にテストする必要があります。

Windows の監査ポリシーの構成

Windows の監査ポリシーは、グループ ポリシー、auditpol.exe、Api、またはレジストリの編集を使用して設定できます。 ほとんどの企業で監査ポリシーを構成するための推奨事項は、グループ ポリシーまたは auditpol.exe です。 システムの監査ポリシーを設定するには、管理者レベルのアカウントのアクセス許可、または、適切なアクセス許可を委任する必要があります。

注意

監査とセキュリティ ログの管理 セキュリティ プリンシパルに権限を与える必要があります (管理者がある、既定では) オブジェクトへのアクセスが監査ファイル、Active Directory のオブジェクト、およびレジストリ キーなどの個々 のリソースのオプションの変更を可能にします。

グループ ポリシーを使用して Windows 監査ポリシーの設定

グループ ポリシーを使用して監査ポリシーを設定するには、下にある適切な監査カテゴリの構成 コンピューターの構成 \windows 設定 \ セキュリティ \ 監査ポリシー (例から、ローカル グループ ポリシー エディター (gpedit.msc) については次のスクリーン ショットを参照してください)。 各監査ポリシー カテゴリを有効にできる 成功, 、エラー, 、または 成功 や障害イベントです。

高度な監査ポリシーは、Active Directory またはローカル グループ ポリシーを使用して設定できます。 高度な監査ポリシーを設定する構成の下にある適切なサブカテゴリ コンピューターの構成 \windows 設定 \ セキュリティ \ 監査ポリシー (例から、ローカル グループ ポリシー エディター (gpedit.msc) については次のスクリーン ショットを参照してください)。 監査ポリシーのサブカテゴリごとに有効にできます 成功, 、エラー, 、または 成功 と エラー イベントです。

Auditpol.exe を使用して Windows 監査ポリシーの設定

Auditpol.exe (Windows の監査ポリシーの設定) には、Windows Server 2008 および Windows Vista で導入されました。 最初に、auditpol.exe のみを使用して、高度な監査ポリシーを設定することでしたが、グループ ポリシーは、Windows Server 2012、Windows Server 2008 R2、または Windows Server 2008、Windows 8 および Windows 7 で使用することができます。

Auditpol.exe は、コマンド ライン ユーティリティです。 構文は次のとおりです。

auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:> /<enable|disable>

Auditpol.exe 構文例:

auditpol /set /subcategory:"user account management" /success:enable /failure:enable

auditpol /set /subcategory:"logon" /success:enable /failure:enable

auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable

注意

Auditpol.exe では、ローカルで高度な監査ポリシーを設定します。 ローカル ポリシーは、Active Directory またはローカル グループ ポリシーと競合する場合のグループ ポリシー設定は通常 auditpol.exe 設定より優先されます。 複数のグループまたはローカル ポリシーの競合が存在する場合 1 つのポリシーが優先されるので (つまりに置き換えてください)。 監査ポリシーはマージされません。

Auditpol をスクリプト作成

マイクロソフトが提供、 サンプル スクリプト auditpol.exe コマンドごとに手動で入力する代わりにスクリプトを使用して高度な監査ポリシーを設定する管理者のためです。

注 グループ ポリシーは常に正確に表示されないすべての有効な監査ポリシーの状態、auditpol.exe は実行されます。 参照してください Windows 7 および Windows 2008 R2 で効果的な監査ポリシーの取得 詳細です。

その他の Auditpol コマンド

保存し、ローカルの監査ポリシーを復元し、その他の監査関連のコマンドを表示するのには、Auditpol.exe を使用できます。 ここでは、その他の auditpol コマンドです。

auditpol /clear - ローカルの監査ポリシーのリセットに使用されます

auditpol /backup /file:<filename> - 現在のローカルの監査ポリシーをバイナリ ファイルにバックアップするために使用されます

auditpol /restore /file:<filename> - ローカルの監査ポリシーを以前に保存した監査ポリシー ファイルにインポートするために使用されます

auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - この監査ポリシーの設定が有効になっており、何らかの理由でセキュリティ監査を記録できない場合、システムは直ちに停止します (STOP: C0000244 {Audit Failed} メッセージが表示される)。 セキュリティ監査ログがいっぱいとセキュリティ ログの指定された保有期間のメソッドは、ログに記録するイベントが通常は、失敗 イベントを上書きしない または 日数を過ぎたらします。 通常、セキュリティ ログが記録されることのより高い保証を必要とする環境でのみ、このポリシーを有効にします。 有効な場合、管理者必要があります詳細にセキュリティ ログのサイズを監視して必要に応じてログを回転します。 設定することもグループ ポリシーを使用してセキュリティ オプションを変更することによって 監査: セキュリティ監査を記録できない場合にすぐにシステムをシャット ダウン (既定 = 無効)。

auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - この監査ポリシー設定は、グローバル システム オブジェクトのアクセスを監査するかどうかを決定します。 このポリシーが有効にすると、ミュー テックス、イベント、セマフォ、および既定のシステム アクセス制御リスト (SACL) で作成される DOS デバイスなどのシステム オブジェクト。 ほとんどの管理者は、グローバル システム オブジェクトを監査することは "ノイズ" が多すぎると考えるため、悪意のあるハッキングが疑われる場合にのみこれを有効にします。 名前付きのオブジェクトには、SACL が与えられます。 監査オブジェクト アクセス監査ポリシー (またはカーネル オブジェクトの監査サブカテゴリ) も有効である場合は、これらのシステム オブジェクトへのアクセスが監査されます。 このセキュリティ設定を構成するときは、Windows を再起動するまで変更は反映されません。 グローバル システム オブジェクトのセキュリティ オプション、アクセスの監査を変更することで、このポリシーのグループ ポリシーの設定することも (既定 = 無効)。

auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - この監査ポリシー設定では、名前付きカーネル オブジェクト (ミューテックス、セマフォなど) が作成されるとき、SACL を付与することを指定します。 AuditBaseDirectories はコンテナー オブジェクトに影響し、AuditBaseObjects は他のオブジェクトを含むことができないオブジェクトに影響します。

auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - この監査ポリシー設定は、次の特権の 1 つ以上がユーザー セキュリティ トークンに割り当てられたときにクライアントでイベントを生成するかどうかを指定します。

• AssignPrimaryTokenPrivilege
• AuditPrivilege
• BackupPrivilege
• CreateTokenPrivilege
• DebugPrivilege
• EnableDelegationPrivilege
• ImpersonatePrivilege
• LoadDriverPrivilege
• RestorePrivilege
• SecurityPrivilege
• SystemEnvironmentPrivilege
• TakeOwnershipPrivilege
• TcbPrivilege

このオプションが有効になっていない場合 (既定では無効)、BackupPrivilege および RestorePrivilege の特権は記録されません。 このオプションを有効にすると、バックアップ操作中のセキュリティ ログに膨大な "ノイズ" (場合によって 1 秒あたり数百のイベント) が発生する可能性があります。 セキュリティ オプションを変更することで、このポリシーのグループ ポリシーの設定することも 監査: バックアップと復元の特権の使用の監査します。

注意

ここで提供される情報の一部は Microsoft の監査オプションの種類と Microsoft SCM ツールから取得されます。

従来の監査または高度な監査を適用します。

Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 および Windows Vista での管理者は、従来の 9 つのカテゴリを有効にするか、サブカテゴリを使用する選択できます。 各 Windows システムで作成する必要がありますバイナリを選択することをお勧めします。 メインのカテゴリかサブカテゴリのどちらかを有効にできますが、両方を有効にすることはできません。

レガシ従来カテゴリ ポリシーが監査ポリシーのサブカテゴリを上書きしないように、させる必要があります、 監査ポリシーのサブカテゴリを強制 (Windows Vista またはそれ以降) をポリシー カテゴリの監査設定をオーバーライドする の下にあるポリシー設定 コンピューターの構成 \windows の設定 \ セキュリティ \ セキュリティ オプションします。

サブカテゴリが有効になっているおよび 9 つの主なカテゴリではなく構成できることをお勧めします。 これには、監査ポリシーをサポートするさまざまなサブカテゴリを構成すると共に場合は、グループ ポリシーの設定 (サブカテゴリ監査カテゴリのオーバーライドを許可する) に対応が必要です。

グループ ポリシーやコマンド ライン プログラム、auditpol.exe など、いくつかの方法では、サブカテゴリの監査を構成できます。

次の手順

• 監査と Windows Server 2008 でのコンプライアンス

• グループ ポリシーを使用して、詳細なセキュリティが Windows Server 2008 ドメイン、Windows Server 2003 ドメイン、または Windows 2000 ドメインでは、Windows Vista および Windows Server 2008 ベースのコンピューターの監査設定を構成する方法

• セキュリティ監査ポリシーのステップ バイ ステップ ガイドの詳細