集約型の監査ポリシーを使用したセキュリティ監査の展開 (デモンストレーション手順)
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
このシナリオでは、「集約型アクセス ポリシーの展開 (デモンストレーション手順)」で作成した財務ポリシーを使用して財務ドキュメント フォルダー内のファイルへのアクセスを監査します。 このフォルダーへのアクセスが許可されていないユーザーがこのフォルダーにアクセスしようとすると、イベント ビューアーでそのアクティビティがキャプチャされます。 このシナリオをテストするには、次の手順が必要です。
| タスク | 説明 |
|---|---|
| グローバル オブジェクト アクセスの構成 | この手順では、ドメイン コントローラーでグローバル オブジェクト アクセス ポリシーを構成します。 |
| グループ ポリシー設定の更新 | ファイル サーバーにサインインし、グループ ポリシーの更新を適用します。 |
| グローバル オブジェクト アクセス ポリシーが適用されたことの検証 | イベント ビューアーで関連するイベントを確認します。 これらのイベントには、国とドキュメント タイプのメタデータが含まれている必要があります。 |
グローバル オブジェクト アクセス ポリシーの構成
この手順では、ドメイン コントローラーでグローバル オブジェクト アクセス ポリシーを構成します。
グローバル オブジェクト アクセス ポリシーを構成するには
パスワード pass@word1 を使用し、contoso\administrator としてドメイン コントローラー DC1 にサインインします。
サーバー マネージャーで、[ツール] をポイントし、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで、[ドメイン]、[contoso.com] の順にダブルクリックし、[Contoso] をクリックして、[ファイル サーバー] をダブルクリックします。
[FlexibleAccessGPO] を右クリックし、[編集] をクリックします。
[コンピューターの構成]、[ポリシー]、[Windows の設定] の順にダブルクリックします。
[セキュリティの設定]、[監査ポリシーの詳細な構成]、[監査ポリシー] の順にダブルクリックします。
[オブジェクト アクセス]、[ファイル システムの監査] の順にダブルクリックします。
[次の監査イベントを構成する] チェック ボックスをオンにし、[成功] チェック ボックスと [失敗] チェック ボックスをオンにして、[OK] をクリックします。
ナビゲーション ウィンドウで、[グローバル オブジェクト アクセスの監査]、[ファイル システム] の順にダブルクリックします。
[このポリシーの設定を定義する] チェック ボックスをオンにし、[構成] をクリックします。
[グローバル ファイルの SACL のセキュリティの詳細設定] ボックスで、[追加]、[プリンシパルの選択] の順にクリックし、「Everyone」と入力して、[OK] をクリックします。
[グローバル ファイルの SACL の監査エントリ] ボックスで、[アクセス許可] ボックスの [フル コントロール] をクリックします。
[条件の追加] セクションで [条件の追加] をクリックし、ドロップダウン リストで [リソース][部署][次のいずれか][値][財務] をクリックします。
[OK] を 3 回クリックして、グローバル オブジェクト アクセス監査ポリシー設定の構成を完了します。
ナビゲーション ウィンドウで [オブジェクト アクセス] をクリックし、結果ウィンドウで [ハンドル操作の監査] をダブルクリックします。 [次の監査イベントを構成する]、[成功]、[失敗] をクリックして [OK] をクリックし、柔軟なアクセス GPO を閉じます。
グループ ポリシー設定の更新
この手順では、監査ポリシーを作成した後でグループ ポリシー設定を更新します。
グループ ポリシーの設定を更新するには
パスワード pass@word1 を使用し、contoso\Administrator としてファイル サーバー FILE1 にサインインします。
Windows キーを押しながら R キーを押し、「cmd」と入力してコマンド プロンプト ウィンドウを開きます。
注意
[ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。
「gpupdate /force」と入力し、Enter キーを押します。
グローバル オブジェクト アクセス ポリシーが適用されたことの検証
グループ ポリシーの設定が適用された後、監査ポリシーの設定が正しく適用されたことを検証できます。
グローバル オブジェクト アクセス ポリシーが適用されたことを検証するには
クライアント コンピューター CLIENT1 に Contoso\MReid としてサインインします。 フォルダー HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents に移動し、Word Document 2 を変更します。
contoso\administrator としてファイル サーバー FILE1 にサインインします。 イベント ビューアーを開き、[Windows ログ] に移動して [セキュリティ] をクリックし、アクティビティの結果として監査イベント 4656 と 4663 が発生したことを確認します (作成、変更、または削除したファイルまたはフォルダーについて明示的な監査 SACL を設定しなかった場合でも、これらの監査イベントが発生します)。
重要
有効なアクセス許可が確認されているユーザーのために、リソースが配置されているコンピューター上で新しいログオン イベントが生成されます。 ユーザー サインイン アクティビティのセキュリティ監査ログを分析する場合、有効なアクセス許可が原因となって生成されるログオン イベントと対話型のネットワーク ユーザー サインインが原因となって生成されるログオン イベントを区別するために、偽装レベル情報が含められます。 有効なアクセス許可が原因となってログオン イベントが生成される場合、偽装レベルは Identity です。 対話型のネットワーク ユーザー サインインでは、通常、偽装レベルが Impersonation または Delegation のログオン イベントが生成されます。