高度な監査ポリシーの構成

監査ポリシーの構成の詳細設定は、グループ ポリシーの [コンピューターの構成]、[Windows の設定]、[セキュリティ設定]、[高度な監査ポリシーの構成]、[システム監査ポリシー ] の下にあります。 これらの設定により、組織は次のような特定のアクティビティを追跡することで、主要なビジネス要件とセキュリティ要件へのコンプライアンスを監視できます。

• 機密情報 (財務サーバーなど) を含むサーバー上の設定またはデータに対してグループ管理者によって行われた変更。

• 指定されたグループ内の従業員による重要なファイルへのアクセス。

• コンピューターまたはファイル共有上のすべてのファイル、フォルダー、またはレジストリ キーに適切なシステム アクセス制御リスト (SACL) を適用し、承認されていないアクセスに対する検証可能な保護を提供します。

これらの監査ポリシー設定には、ローカル コンピューターのローカル セキュリティ ポリシー スナップイン (secpol.msc) またはグループ ポリシーを使用してアクセスできます。

これらの高度な監査ポリシー設定では、監視対象のアクティビティをきめ細かく制御できるため、組織に最も関連性の高いイベントに集中できます。 重要ではないアクションや不要なログ ボリュームを生成するアクションの監査を除外できます。 さらに、これらのポリシーはドメイン グループ ポリシー オブジェクトを使用して管理できるため、必要に応じて特定のユーザーとグループに対して監査構成を簡単に変更、テスト、展開できます。

高度な監査ポリシーの構成は次のとおりです。

• アカウント ログオン

  このカテゴリのポリシー設定を構成すると、ドメイン コントローラーまたはローカルのセキュリティ アカウント マネージャー (SAM) でアカウント データを認証しようとする試みを文書化するのに役立ちます。 ログオンとログオフのポリシー設定とイベントとは異なり、特定のコンピューターへのアクセスの試行を追跡します。このカテゴリの設定とイベントは、使用されるアカウント データベースに重点を置きます。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  監査資格情報検証ポリシーを展開する

  監査資格情報検証ポリシーは、OS (OS) が、ユーザー アカウントログオン要求に対して送信された資格情報に対して監査イベントを生成するかどうかを決定します。 これらのイベントは、資格情報に対して権限のあるコンピューターで次のように発生します。

  • ドメイン アカウントの場合、ドメイン コントローラーは権限を持っています。

  • ローカル アカウントの場合、ローカル コンピューターは権限があります。

  ドメイン アカウントはエンタープライズ環境のローカル アカウントよりもはるかに頻繁に使用されるため、ドメイン環境のアカウント ログオン イベントのほとんどは、ドメイン アカウントに対して権限のあるドメイン コントローラーで発生します。 ただし、これらのイベントは任意のコンピューターで発生する可能性があり、ログオン イベントとログオフ イベントとは別のコンピューターで発生する可能性があります。

  イベント ID	イベント メッセージ
  4774	アカウントがログオンにマップされました。
  4775	アカウントをログオン用にマップできませんでした。
  4776	ドメイン コントローラーがアカウントの資格情報の検証を試みました。
  4777	ドメイン コントローラーがアカウントの資格情報の検証に失敗しました。

  • イベント ボリューム: ドメイン コントローラーで高。

  • クライアント エディションの既定値: 監査なし。

  • サーバー エディションの既定値: 成功。

  Kerberos 認証サービスの監査ポリシーを展開する

  Kerberos 認証サービスの監査ポリシーは、Kerberos 認証チケット許可チケット (TGT) が要求されたときに監査イベントを生成するかどうかを制御します。 この設定を有効にすると、管理者は Kerberos サインイン アクティビティを監視し、認証要求に関連する潜在的なセキュリティの問題を検出できます。

  このポリシー設定を構成すると、Kerberos 認証 TGT 要求の後に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。

  イベント ID	イベント メッセージ
  4768	Kerberos 認証チケット (TGT) が要求されました。
  4771	Kerberos の事前認証に失敗しました。
  4772	Kerberos 認証チケット要求が失敗しました。

  • イベント ボリューム: Kerberos キー配布センター サーバーで高。

  • クライアント エディションの既定値: 監査なし。

  • サーバー エディションの既定値: 成功。

  Kerberos サービス チケット操作の監査ポリシーを展開する

  Kerberos サービス チケット操作の監査ポリシーは、Kerberos サービス チケットが要求または更新されたときに、OS がセキュリティ監査イベントをログに記録するかどうかを制御します。 この設定を有効にすると、管理者は環境内の Kerberos 認証アクティビティを監視および追跡できます。

  イベントは、保護されたネットワーク リソースにアクセスするユーザーを認証するために Kerberos が使用されるたびに生成されます。 Kerberos サービス チケット操作監査イベントを使用して、ユーザー アクティビティを追跡できます。

  イベント ID	イベント メッセージ
  4769	Kerberos サービス チケットが要求されました。
  4770	Kerberos サービス チケットが更新されました。

  • イベント ボリューム: キー配布センター (KDC) 内にあるドメイン コントローラーで 高い 。 ドメイン メンバーの数が少ない。

  • 既定値: 未構成。

  [その他のアカウント ログオン イベントの監査] を展開する

  Audit Other Account Logon Events ポリシーは、標準の資格情報検証または Kerberos チケット要求ではないユーザー アカウント ログオンの資格情報要求への応答によってトリガーされるイベントを監査します。 例としては、次のようなものがあります。

  • 新しいリモート デスクトップ セッションとセッション切断を開始する場合。

  • ワークステーションをロックおよびロック解除する場合。

  • スクリーン セーバーを呼び出すか閉じるとき。

  • Kerberos 再生攻撃が検出されると、同じ情報を持つ Kerberos 要求が 2 回受信されました。

    注

    この状況は、ネットワーク構成の問題が原因である可能性があります。

  • ユーザーまたはコンピューター アカウントに付与されたワイヤレス ネットワークまたは有線 802.1x ネットワークにアクセスする場合

  イベント ID	イベント メッセージ
  4649	再生攻撃が検出されました。
  4778	セッションは Window Station に再接続しました。
  4779	セッションは Window Station から切断されました。
  4800	ワークステーションがロックされました。
  4801	ワークステーションのロックが解除されました。
  4802	スクリーン セーバーが起動しました。
  4803	スクリーン セーバーが解除されました。
  5378	要求された資格情報の委任がポリシーで許可されませんでした。
  5632	ワイヤレス ネットワーク認証が要求されました。
  5633	ワイヤード (有線) ネットワーク認証が要求されました。

  • 既定値: 監査なし。

• アカウント管理

  このカテゴリのセキュリティ監査ポリシー設定を使用して、ユーザーとコンピューターのアカウントとグループに対する変更を監視できます。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  [監査アプリケーション グループ管理ポリシー] を展開する

  監査アプリケーション グループ管理ポリシーは、特定のアクションが実行されたときに OS によって監査イベントがログに記録されるかどうかを制御します。 これらのアクションには、アプリケーション グループの作成、変更、削除、およびメンバーシップの変更が含まれます。 アプリケーション グループの管理タスクは次のとおりです。

  • アプリケーション グループが作成、変更、または削除されます。

  • メンバーは、アプリケーション グループに追加されるか、アプリケーション グループから削除されます。

  イベント ID	イベント メッセージ
  4783	基本アプリケーション グループが作成されました。
  4784	基本アプリケーション グループが変更されました。
  4785	基本アプリケーション グループにメンバーが追加されました。
  4786	基本アプリケーション グループからメンバーが削除されました。
  4787	メンバー以外が基本アプリケーション グループに追加されました。
  4788	メンバー以外が基本的なアプリケーション グループから削除されました。
  4789	基本アプリケーション グループが削除されました。
  4790	ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリ グループが作成されました。

  • イベント ボリューム: 低。
  • 既定値: 監査なし。
  コンピューター アカウント管理の監査ポリシーを展開する

  コンピューター アカウント管理の監査ポリシーは、コンピューター アカウントが Active Directory で作成、変更、または削除されたときに、OS ログ監査イベントを記録するかどうかを制御します。 このポリシーを有効にすると、管理者はドメイン内のコンピューター アカウントの変更を監視および追跡できます。 これらのイベントを監視することで、セキュリティ監査、コンプライアンス、およびアカウント管理アクティビティのトラブルシューティングに役立つ情報が提供されます。

  イベント ID	イベント メッセージ
  4741	コンピューター アカウントが作成されました。
  4742	コンピューター アカウントが変更されました。
  4743	コンピューター アカウントが削除されました。

  • イベント ボリューム: 低。

  • クライアント エディションの既定値: 監査なし。

  • サーバー エディションの既定値: 成功。

  監査配布グループ管理のポリシーを展開する

  配布グループ管理の監査ポリシーは、OS が特定の配布グループ管理タスクの監査イベントを生成するかどうかを決定します。 このポリシーが属するこのサブカテゴリは、ドメイン コントローラーでのみログに記録されます。 監査できる配布グループ管理のタスクは次のとおりです。

  • 配布グループが作成、変更、または削除されます。

  • メンバーが配布グループに追加されるか、配布グループから削除されます。

  注

  配布グループを使用してアクセス制御のアクセス許可を管理することはできません。

  イベント ID	イベント メッセージ
  4744	セキュリティが無効なローカル グループが作成されました。
  4745	セキュリティが無効なローカル グループが変更されました。
  4746	セキュリティが無効なローカル グループにメンバーが追加されました。
  4747	セキュリティが無効なローカル グループのメンバーが削除されました。
  4748	セキュリティが無効なローカル グループが削除されました。
  4749	セキュリティが無効なグローバル グループが作成されました。
  4750	セキュリティが無効なグローバル グループが変更されました。
  4751	セキュリティが無効なグローバル グループにメンバーが追加されました。
  4752	セキュリティが無効なグローバル グループのメンバーが削除されました。
  4753	セキュリティが無効なグローバル グループが削除されました。
  4759	セキュリティが無効なユニバーサル グループが作成されました。
  4760	セキュリティが無効なユニバーサル グループが変更されました。
  4761	セキュリティが無効なユニバーサル グループにメンバーが追加されました。
  4762	セキュリティが無効なユニバーサル グループのメンバーが削除されました。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  [その他のアカウント管理イベントの監査] ポリシーを展開する

  監査その他のアカウント管理イベント ポリシーは、OS がユーザー アカウント管理監査イベントを生成するかどうかを決定します。 ユーザー アカウント管理の監査では、次の場合にイベントを生成できます。

  • アカウントのパスワード ハッシュにアクセスします。 これは通常、Active Directory 移行ツール (ADMT) がパスワード データを移動しているときに発生します。

  • パスワード ポリシー チェック アプリケーション プログラミング インターフェイス (API) が呼び出されます。 この関数の呼び出しは、パスワードの複雑さのポリシー設定が適用されているかどうかをテストしている悪意のあるアプリケーションからの攻撃の一部である可能性があります。

  注

  これらのイベントは、管理者が設定を変更した場合ではなく、ドメイン ポリシーが (更新時または再起動時に) 適用されるときにログに記録されます。

  ドメイン ポリシーに加えられた変更は、[ コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[アカウント ポリシー]、[パスワード ポリシー ] または [コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[アカウント ポリシー]、[アカウント ロックアウト ポリシー] の下にあります。

  イベント ID	イベント メッセージ
  4782	アカウントのパスワード ハッシュにアクセスしました。
  4793	パスワード ポリシー確認 API が呼び出されました。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  監査セキュリティ グループ管理ポリシーの展開

  監査セキュリティ グループ管理ポリシーは、特定のセキュリティ グループ管理タスクが実行されたときに OS が監査イベントを生成するかどうかを決定します。 セキュリティ グループ管理のタスクは次のとおりです。

  • セキュリティ グループが作成、変更、または削除されます。

  • メンバーがセキュリティ グループに追加されるか、セキュリティ グループから削除されます。

  • グループの種類が変更されます。

  セキュリティ グループは、アクセス制御のアクセス許可や配布リストとしても使用できます。

  イベント ID	イベント メッセージ
  4727	セキュリティが有効なグローバル グループが作成されました。
  4728	セキュリティが有効なグローバル グループにメンバーが追加されました。
  4729	セキュリティが有効なグローバル グループのメンバーが削除されました。
  4730	セキュリティが有効なグローバル グループが削除されました。
  4731	セキュリティが有効なローカル グループが作成されました。
  4732	セキュリティが有効なローカル グループにメンバーが追加されました。
  4733	セキュリティが有効なローカル グループのメンバーが削除されました。
  4734	セキュリティが有効なローカル グループが削除されました。
  4735	セキュリティが有効なローカル グループが変更されました。
  4737	セキュリティが有効なグローバル グループが変更されました。
  4754	セキュリティが有効なユニバーサル グループが作成されました。
  4755	セキュリティが有効なユニバーサル グループが変更されました。
  4756	セキュリティが有効なユニバーサル グループにメンバーが追加されました。
  4757	セキュリティが有効なユニバーサル グループのメンバーが削除されました。
  4758	セキュリティが有効なユニバーサル グループが削除されました。
  4764	グループの種類が変更されました。

  • イベント ボリューム: 低。

  • 既定値: 成功。

  監査ユーザーアカウント管理を展開

  監査ユーザー アカウント管理は、特定のユーザー アカウント管理タスクが実行されたときに OS が監査イベントを生成するかどうかを決定します。 ユーザー アカウント管理で監査されるタスクは次のとおりです。

  • ユーザー アカウントが作成、変更、削除、名前変更、無効、有効、ロックアウト、またはロック解除されます。

  • ユーザー アカウントのパスワードが設定または変更されました。

  • セキュリティ識別子 (SID) の履歴がユーザー アカウントに追加されます。

  • ディレクトリ サービス復元モードのパスワードが設定されています。

  • アクセス許可は、管理者グループのメンバーであるアカウントで変更されます。

  • 資格情報マネージャーの資格情報がバックアップまたは復元されます。

  このポリシー設定は、ユーザー アカウントのプロビジョニングと管理を含むイベントを追跡するために不可欠です。

  イベント ID	イベント メッセージ
  4720	ユーザー アカウントが作成されました。
  4722	ユーザー アカウントが有効化されました。
  4723	An attempt was made to change an account's password. (アカウントのパスワードを変更しようとしました。)
  4724	An attempt was made to reset an account's password. (アカウントのパスワードをリセットしようとしました。)
  4725	ユーザー アカウントが無効化されました。
  4726	ユーザー アカウントが削除されました。
  4738	ユーザー アカウントが変更されました。
  4740	ユーザー アカウントがロックアウトされました。
  4765	SID の履歴がアカウントに追加されました。
  4766	SID の履歴をアカウントに追加できませんでした。
  4767	ユーザー アカウントのロックが解除されました。
  4780	管理者グループのメンバのアカウントに ACL が設定されました。
  4781	アカウントの名前が変更されました。
  4794	An attempt was made to set the Directory Services Restore Mode. (ディレクトリ サービス復元モードの設定が試行されました。)
  5376	資格情報マネージャーの資格情報がバックアップされました。
  5377	資格情報マネージャーの資格情報がバックアップから復元されました。

  • イベント ボリューム: 低。

  • 既定値: 成功。

• 詳細な追跡

  詳細な追跡セキュリティ ポリシー設定と監査イベントを使用すると、そのコンピューター上の個々のアプリケーションとユーザーのアクティビティを監視したり、コンピューターがどのように使用されているかを把握したりできます。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  監査用 DPAPI 活動ポリシーを展開する

  監査 DPAPI アクティビティ ポリシーは、暗号化または復号化の呼び出しがデータ保護アプリケーション インターフェイス (DPAPI) に対して行われるときに、OS が監査イベントを生成するかどうかを決定します。

  DPAPI は、保存されているパスワードやキー情報などのシークレット情報を保護するために使用されます。 詳細については、「 Windows データ保護」を参照してください。

  イベント ID	イベント メッセージ
  4692	データ保護マスター キーのバックアップが試みられました。
  4693	データ保護マスター キーの回復が試みられました。
  4694	監査可能な保護されたデータの保護が試みられました。
  4695	監査可能な保護されたデータの保護解除が試みられました。

  • イベント ボリューム: 低。
  [監査 PNP アクティビティ ポリシー] を展開する

  監査 PNP アクティビティ ポリシーは、外部プラグ アンド プレイ (PnP) デバイスが検出された際に監査を行います。

  イベント ID	イベント メッセージ
  6416	新しいデバイスが接続されているか、既存のデバイスが削除されます。

  • イベント ボリューム: 低。
  監査プロセス作成ポリシーの展開

  監査プロセス作成ポリシーは、プロセスの作成時または開始時に OS が監査イベントを生成するかどうかを決定します。

  これらの監査イベントは、ユーザー アクティビティを追跡し、コンピューターがどのように使用されているかを理解するのに役立ちます。 情報には、プロセスを作成したプログラムまたはユーザーの名前が含まれます。

  イベント ID	イベント メッセージ
  4688	新しいプロセスが作成されました。
  4696	プライマリ トークンがプロセスに割り当てられた。

  • イベント ボリューム: システムの使用状況によって 異なります 。
  監査プロセス終了ポリシーの展開

  監査プロセス終了ポリシーは、プロセスを終了しようとしたときに OS が監査イベントを生成するかどうかを決定します。

  イベント ID	イベント メッセージ
  4689	プロセスが終了しました。

  • イベント ボリューム: システムの使用状況によって 異なります 。
  RPCイベントの監査ポリシーを拡張する

  RPC イベントの監査ポリシーは、受信リモート プロシージャ コール (RPC) 接続が確立されたときに OS が監査イベントを生成するかどうかを決定します。

  RPC は、分散クライアント/サーバー プログラムを作成するためのテクノロジです。 RPC は、クライアントおよびサーバー ソフトウェアが通信できるようにするプロセス間通信手法です。 詳細については、「 リモート プロシージャ コール (RPC)」を参照してください。

  イベント ID	イベント メッセージ
  5712	RPC が試行されました。

  • イベント ボリューム: RPC サーバーで 高い 。

  • 既定値: 監査なし。

  監査トークン権限調整ポリシーを展開する

  監査トークンの権利調整ポリシーは、トークンの特権を調整することによって生成されたイベントを監査します。

  イベント ID	イベント メッセージ
  4703	ユーザー権限が調整されました。

  • イベント ボリューム: 高。

  • 既定値: 監査なし。

• DS アクセス

  DS Access セキュリティ監査ポリシー設定では、Active Directory Domain Services (AD DS) 内のオブジェクトへのアクセスと変更の試行の詳細な監査証跡が提供されます。 これらの監査イベントは、ドメイン コントローラーでのみ記録されます。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  [ディレクトリ サービス レプリケーションの詳細監査ポリシー] を展開する

  監査詳細ディレクトリ サービス レプリケーション ポリシーは、ドメイン コントローラー間でレプリケートされるデータに関する詳細な追跡情報を含む監査イベントを OS が生成するかどうかを決定します。 この監査サブカテゴリは、レプリケーションの問題を診断するのに役立ちます。

  イベント ID	イベント メッセージ
  4928	Active Directory レプリカ ソースの名前付けコンテキストが確立されました。
  4929	Active Directory レプリカ ソースの名前付けコンテキストが削除されました。
  4930	Active Directory レプリカ ソースの名前付けコンテキストが変更されました。
  4931	Active Directory レプリカ ターゲットの名前付けコンテキストが変更されました。
  4934	Active Directory オブジェクトの属性がレプリケートされました。
  4935	レプリケーション エラーが開始します。
  4936	レプリケーション失敗が終了する。
  4937	レプリカから残留オブジェクトが削除されました。

  • イベント ボリューム: 高。

  • 既定値: 監査なし。

  [監査ディレクトリ サービス アクセス ポリシー] を展開する

  監査ディレクトリ サービス アクセス ポリシーは、Active Directory Domain Services (AD DS) オブジェクトにアクセスしたときに OS が監査イベントを生成するかどうかを決定します。 これらのイベントは、以前のバージョンの Windows Server OS のディレクトリ サービス アクセス イベントに似ています。

  注

  監査イベントは、SACL 設定に一致する方法でアクセスされる場合にのみ、構成された SACL を持つオブジェクトでのみ生成されます。

  イベント ID	イベント メッセージ
  4662	オブジェクトに操作が行われました。

  • イベント ボリューム: ドメイン コントローラーで高。 クライアント コンピューターではなし。

  • クライアント エディションの既定値: 監査なし。

  • サーバー エディションの既定値: 成功。

  監査ディレクトリサービス変更ポリシーを展開する

  ディレクトリ サービスの変更の監査ポリシーは、AD DS のオブジェクトに変更が加えられたときに OS が監査イベントを生成するかどうかを決定します。 このポリシーは、必要に応じて、変更されたオブジェクトの変更されたプロパティの古い値と新しい値を示します。 報告される変更の種類は次のとおりです。

  • 創造する

  • 削除

  • 変更

  • 動く

  • 削除の取り消し

  注

  監査イベントは、構成された SACL を持つオブジェクトに対してのみ生成され、SACL 設定に一致する方法でアクセスされる場合にのみ生成されます。 一部のオブジェクトとプロパティでは、スキーマ内のオブジェクト クラスの設定が原因で監査イベントが生成されません。

  このサブカテゴリは、ドメイン コントローラーのイベントのみをログに記録します。 Active Directory オブジェクトへの変更は、ネットワーク ポリシーの状態を理解するために追跡する重要なイベントです。

  イベント ID	イベント メッセージ
  5136	ディレクトリ サービス オブジェクトが変更されました。
  5137	ディレクトリ サービス オブジェクトが作成されました。
  5138	ディレクトリ サービス オブジェクトの削除が取り消されました。
  5139	ディレクトリ サービス オブジェクトが移動されました。
  5141	ディレクトリ サービス オブジェクトが削除されました。

  • イベント ボリューム: ドメイン コントローラーでのみ 高い 。

  • 既定値: 監査なし。

  監査ディレクトリ サービス レプリケーション ポリシーの展開

  監査ディレクトリ サービス レプリケーション ポリシーは、2 つのドメイン コントローラー間のレプリケーションの開始と終了時に OS が監査イベントを生成するかどうかを決定します。 このサブカテゴリのイベントは、ドメイン コントローラーでのみログに記録されます。

  イベント ID	イベント メッセージ
  4932	Active Directory の名前付けコンテキストのレプリカの同期が開始しました。
  4933	Active Directory の名前付けコンテキストのレプリカの同期が終了しました。

  • イベント ボリューム: ドメイン コントローラー上の メディア 。 クライアント コンピューターではなし。

  • 既定値: 監査なし。

• ログオン/ログオフ

  ログオン/ログオフ セキュリティ ポリシー設定と監査イベントを使用すると、コンピューターへの対話形式またはネットワーク経由でのサインインの試行を追跡できます。 これらのイベントは、ユーザー アクティビティを追跡し、ネットワーク リソースに対する潜在的な攻撃を特定するのに役立ちます。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  監査アカウント ロックアウト ポリシーを展開する

  監査アカウント ロックアウト ポリシーを使用すると、ロックアウトされたアカウントにサインインしようとして失敗した場合に生成されるセキュリティ イベントを監査できます。このポリシー設定を構成すると、アカウントがロックアウトされているためにアカウントがコンピューターにサインインできないときに監査イベントが生成されます。成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。

  アカウント ロックアウト イベントは、ユーザー アクティビティを理解し、潜在的な攻撃を検出するために不可欠です。

  イベント ID	イベント メッセージ
  4625	アカウントがログオンに失敗しました。

  • イベント ボリューム: 低。

  • 既定の設定: 成功。

  監査ユーザー/デバイス請求の詳細を表示

  監査ユーザー/デバイス要求ポリシーを使用すると、アカウントのログオン トークン内のユーザーとデバイスの要求情報を監査できます。 このサブカテゴリのイベントは、ログオン セッションが作成されたコンピューターで生成されます。 対話型ログオンの場合は、ユーザーがログオンしているコンピューターでセキュリティ監査イベントが生成されます。 このサブカテゴリからイベントを取得するには、Audit Logon サブカテゴリを有効にする必要があります。

  ネットワーク上の共有フォルダーへのアクセスなど、ネットワーク ログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。

  イベント ID	イベント メッセージ
  4626	ユーザー/デバイス要求情報。

  • イベント ボリューム: クライアント コンピューターで 低 。 ドメイン コントローラーまたはネットワーク サーバー上のメディア

  • 既定値: 監査なし。

  [監査グループ メンバーシップ ポリシー] を展開する

  グループ メンバーシップの監査ポリシーを使用すると、ユーザーのログオン トークン内のグループ メンバーシップ情報を監査できます。 このサブカテゴリのイベントは、ログオン セッションが作成されたコンピューターで生成されます。 監査ログオン サブカテゴリも有効にする必要があります。

  対話型ログオンの場合は、ユーザーがログオンしているコンピューターでセキュリティ監査イベントが生成されます。 ネットワーク上の共有フォルダーへのアクセスなど、ネットワーク ログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。

  イベント ID	イベント メッセージ
  4627	グループ メンバーシップ情報。

  • イベント ボリューム: クライアント コンピューターで 低 。 ドメイン コントローラーまたはネットワーク サーバー上のメディア。

  • 既定値: 監査なし。

  IPsec 拡張モードの監査ポリシーを展開する

  IPsec 拡張モードの監査ポリシーは、拡張モード ネゴシエーション中に、OS がインターネット キー 交換 (IKE) プロトコルと認証済みインターネット プロトコル (AuthIP) の結果の監査イベントを生成するかどうかを決定します。

  IKE は、 RFC 2409 で定義されているインターネット標準であり、IPsec セキュリティ アソシエーションを確立するメカニズムを定義します。 セキュリティ アソシエーションは、相互に同意できるポリシーと、IPsec ピア間の通信を保護するのに役立つセキュリティ サービスとメカニズムを定義するキーの組み合わせです。

  AuthIP は、ユーザー ベースの認証や複数の資格情報を使用した認証のサポートなど、柔軟性を高める IKE の拡張バージョンです。 また、認証方法のネゴシエーションが改善され、非対称認証がサポートされます。 IKE と同様に、AuthIP ではメイン モードとクイック モードのネゴシエーションがサポートされます。 AuthIP では拡張モードもサポートされています。これは、認証の第 2 ラウンドを実行できる IPsec ピア ネゴシエーションの一部です。 拡張モード (省略可能) は、複数の認証に使用できます。 たとえば、拡張モードでは、コンピューター ベースの認証とユーザー ベースの認証を個別に実行できます。

  イベント ID	イベント メッセージ
  4978	拡張モード ネゴシエーション中、IPsec が無効なネゴシエーション パケットを受信しました。 この問題が解決しない場合、ネットワークの問題や、このネゴシエーションの変更またはレプレイの試みを示している可能性があります。
  4979	IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 このイベントは、メイン モード ローカル エンドポイント、メイン モード リモート エンドポイント、メイン モード暗号化情報、メイン モード セキュリティ アソシエーション、メイン モードの追加情報、拡張モード情報の各カテゴリのイベント データを提供します。
  4980	IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 このイベントは、メイン モード ローカル エンドポイント、メイン モード リモート エンドポイントのカテゴリのイベント監査データを提供します。 メイン モード暗号化情報、メイン モードセキュリティアソシエーション、メインモード追加情報、拡張モードローカルエンドポイント、拡張モードリモートエンドポイント、拡張モード追加情報。
  4981	IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 このイベントは、ローカル エンドポイント、ローカル証明書、リモート エンドポイント、リモート証明書、暗号化情報、セキュリティ アソシエーション情報、追加情報、拡張モード情報のカテゴリのイベント監査データを提供します。
  4982	IPsec メイン モードおよび拡張モードのセキュリティ アソシエーションが確立されました。 このイベントは、ローカル エンドポイント、ローカル証明書、リモート エンドポイント、リモート証明書、暗号化情報、セキュリティ関連付け情報、追加情報、拡張モード ローカル エンドポイント、拡張モード リモート エンドポイント、拡張モードの追加情報というカテゴリのイベント監査データを提供します。
  4983	IPsec 拡張モード ネゴシエーションに失敗しました。 対応するメイン モード セキュリティ アソシエーションが削除されました。 このイベントは、ローカル エンドポイント、ローカル証明書、リモート エンドポイント、リモート証明書、およびエラー情報というカテゴリのイベント監査データを提供します。
  4984	IPsec 拡張モード ネゴシエーションに失敗しました。 対応するメイン モード セキュリティ アソシエーションが削除されました。 このイベントは、ローカル エンドポイント、リモート エンドポイント、追加情報、およびエラー情報というカテゴリのイベント監査データを提供します。

  • イベント ボリューム: 高。

  • 既定値: 監査なし。

  IPsec メイン モードポリシーの監査を拡大

  IPsec メイン モードの監査ポリシーは、クイック モード ネゴシエーション中に、IKE プロトコルと AuthIP の結果の監査イベントを OS が生成するかどうかを決定します。 IKE と同様に、AuthIP ではメイン モードとクイック モードのネゴシエーションがサポートされます。

  メイン モード IKE ネゴシエーションでは、2 台のコンピューター間でセキュリティで保護されたチャネル (インターネット セキュリティ アソシエーションとキー管理プロトコル (ISAKMP) セキュリティ アソシエーションと呼ばれます) が確立されます。 セキュリティで保護されたチャネルを確立するために、メイン モード ネゴシエーションは、暗号化保護スイートのセットを決定し、キーマテリアルを交換して共有秘密キーを確立し、コンピューター ID を認証します。

  イベント ID	イベント メッセージ
  4646	セキュリティ ID: %1。
  4650	IPsec メイン モード セキュリティ アソシエーションが確立されました。 拡張モードが確立されませんでした。 証明書認証が使われませんでした。
  4651	IPsec メイン モード セキュリティ アソシエーションが確立されました。 拡張モードが確立されませんでした。 認証に証明書が使われました。
  4652	IPsec メイン モード ネゴシエーションに失敗しました。 この監査イベントは、ローカル エンドポイント、ローカル証明書、リモート エンドポイント、リモート証明書、追加情報、およびエラー情報というカテゴリの詳細な監査データを返します。
  4653	IPsec メイン モード ネゴシエーションに失敗しました。 この監査イベントは、ローカル エンドポイント、リモート エンドポイント、追加情報、およびエラー情報というカテゴリの詳細な監査データを返します。
  4655	IPsec メイン モード セキュリティ アソシエーションが終了しました。
  4976	メイン モード ネゴシエーション中、IPsec が無効なネゴシエーション パケットを受信しました。 この問題が解決しない場合、ネットワークの問題や、このネゴシエーションの変更またはレプレイの試みを示している可能性があります。
  5049	IPsec セキュリティ アソシエーションが削除されました。
  5453	IKE and AuthIP IPsec Keying Modules (IKEEXT) サービスが開始されていないため、リモート コンピューターとの IPsec ネゴシエーションが失敗しました。

  • イベント ボリューム: 高。

  • 既定値: 監査なし。

  IPsec クイック モード ポリシー監査を拡張する

  IPsec クイック モードの監査ポリシーは、クイック モード ネゴシエーション中に、IKE プロトコルと AuthIP の結果の監査イベントを OS が生成するかどうかを決定します。 IKE と同様に、AuthIP ではメイン モードとクイック モードのネゴシエーションがサポートされます。

  クイック モード (フェーズ 2 とも呼ばれます) IKE ネゴシエーションは、データを保護するために 2 台のコンピューター間にセキュリティで保護されたチャネルを確立します。 クイック モードでは、ネットワーク トラフィックを保護する方法に関するコンピューター間のアグリーメントである IPsec セキュリティ アソシエーションが作成されます。 これらの関連付けは、IPsec サービスによってネゴシエートされます。

  クイック モードでは、キーマテリアルが更新されるか、必要に応じて新しいキーが生成されます。 指定した IP トラフィックを保護する保護スイートも選択されます。 保護スイートは、データ整合性またはデータ暗号化設定の定義済みのセットです。 クイック モードはメイン モードの交換に依存するため、完全な交換とは見なされません。

  イベント ID	イベント メッセージ
  4977	クイック モード ネゴシエーション中、IPsec が無効なネゴシエーション パケットを受信しました。 この問題が解決しない場合、ネットワークの問題や、このネゴシエーションの変更またはレプレイの試みを示している可能性があります。
  5451	IPsec クイック モード セキュリティ アソシエーションが確立されました。
  5452	IPsec クイック モード セキュリティ アソシエーションが終了しました。

  • イベント ボリューム: 高。

  • 既定値: 監査なし。

  監査ログオフ ポリシーを展開する

  監査ログオフ ポリシーは、ログオン セッションが終了したときに OS が監査イベントを生成するかどうかを決定します。 これらのイベントは、アクセスされたコンピューターで発生します。 対話型ログオンが発生すると、ログオンしたコンピューターでこれらのイベントが生成されます。

  注

  失敗したログオフ (システムが突然シャットダウンした場合など) では監査レコードが生成されないため、このサブカテゴリにはエラー イベントはありません。

  ログオン イベントは、ユーザー アクティビティを理解し、潜在的な攻撃を検出するために不可欠です。 ログオフ イベントの信頼性は 100% ではありません。 たとえば、適切なログオフとシャットダウンを行わずに、コンピューターをオフにすることができます。この場合、ログオフ イベントは生成されません。

  イベント ID	イベント メッセージ
  4634	アカウントがログオフされます。
  4647	ユーザーがログオフを開始しました。

  • イベント ボリューム: 低。

  • 既定値: 成功。

  監査ログオンポリシーを拡張する

  監査ログオン ポリシーは、ユーザーがコンピューターにサインインしようとしたときに OS が監査イベントを生成するかどうかを決定します。

  これらのイベントはサインイン セッションの作成に関連し、アクセスされたコンピューターで発生します。 対話型ログオンの場合、ログオンしたコンピューターでイベントが生成されます。 共有へのアクセスなどのネットワーク ログオンの場合、アクセスされたリソースをホストするコンピューターでイベントが生成されます。 ログオン イベントは、ユーザー アクティビティを追跡し、潜在的な攻撃を検出するために不可欠です。 次のイベントが記録されます。

  • ログオンの成功と失敗。
  • 明示的な資格情報を使用してログオンを試行します。 このイベントは、プロセスがそのアカウントの資格情報を明示的に指定してアカウントにサインインしようとしたときに生成されます。 これは、スケジュールされたタスクなどのバッチ構成や、 runas コマンドを使用する場合に最も一般的に発生します。

  イベント ID	イベント メッセージ
  4624	アカウントが正常にログオンしました。
  4625	アカウントがログオンに失敗しました。
  4648	明示的な資格情報を使ったログオンが試行されました。
  4675	SID がフィルター処理されました。

  • イベント ボリューム: クライアント コンピューターで 低 。 ドメイン コントローラーまたはネットワーク サーバー上のメディア。

  • 既定値: クライアント コンピューターの 成功 。 サーバーの成功と失敗。

  [監査ネットワーク ポリシー サーバー ポリシー] を展開する

  監査ネットワーク ポリシー サーバー ポリシーは、ユーザー アクセス要求に対して、OS が RADIUS (IAS) およびネットワーク アクセス保護 (NAP) アクティビティの監査イベントを生成するかどうかを決定します。 これらの要求は次のとおりです。

  • 付与

  • 否定する

  • 廃棄

  • 検疫

  • ロック

  • アンロック

  NAP イベントは、ネットワークの全体的な正常性を理解するのに役立ちます。

  イベント ID	イベント メッセージ
  6272	ネットワーク ポリシー サーバーがユーザーのアクセスを許可しました。
  6273	ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。
  6274	ネットワーク ポリシー サーバーがユーザーの要求を破棄しました。
  6275	ネットワーク ポリシー サーバーがユーザーのアカウント要求を破棄しました。
  6276	ネットワーク ポリシー サーバーがユーザーを検疫しました。
  6277	ネットワーク ポリシー サーバーは、ユーザーへのアクセスを許可したが、ホストが定義された正常性ポリシーを満たしていないため、保護観察に置いた。
  6278	ホストが定義済みの正常性ポリシーを満たしていたため、ネットワーク ポリシー サーバーはユーザーにフル アクセスを許可しました。
  6279	ネットワーク ポリシー サーバーは、認証の試行に繰り返し失敗したため、ユーザー アカウントをロックしました。
  6280	ネットワーク ポリシー サーバーは、ユーザー アカウントのロックを解除しました。

  • イベント ボリューム: NPS サーバーと IAS サーバーの 中 または 高 。 他のサーバーまたはクライアント コンピューター上でモデレートします。

  • 既定値: 成功 と 失敗。

  [その他のログオン/ログオフ イベントの監査] ポリシーを展開する

  [その他のログオン/ログオフ イベントの監査] ポリシーは、Windows が他のログオン イベントまたはログオフ イベントの監査イベントを生成するかどうかを決定します。 その他のログオン イベントまたはログオフ イベントは次のとおりです。

  • リモート デスクトップ セッションが接続または切断されます。

  • ワークステーションがロックまたはロック解除されている。

  • スクリーンセーバーが呼び出されるか、終了する。

  • リプレイ攻撃が検出されました。 このイベントは、Kerberos 要求が同じ情報で 2 回受信されたことを示します。 ネットワークの構成が間違うと、これが発生する可能性もあります。

  • ユーザーにはワイヤレス ネットワークへのアクセスが許可されます。 ユーザー アカウントまたはコンピューター アカウントを指定できます。

  • ユーザーには、有線 802.1x ネットワークへのアクセス権が付与されます。 ユーザー アカウントまたはコンピューター アカウントを指定できます。

  イベント ID	イベント メッセージ
  4649	再生攻撃が検出されました。
  4778	セッションは Window Station に再接続しました。
  4779	セッションは Window Station から切断されました。
  4800	ワークステーションがロックされました。
  4801	ワークステーションのロックが解除されました。
  4802	スクリーン セーバーが起動しました。
  4803	スクリーン セーバーが解除されました。
  5378	要求された資格情報の委任がポリシーによって許可されませんでした。
  5632	ワイヤレス ネットワーク認証が要求されました。
  5633	ワイヤード (有線) ネットワーク認証が要求されました。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  監査特別ログオンポリシーを展開する

  特別なログオンの監査ポリシーは、OS が特別なサインオン (またはログオン) の状況で監査イベントを生成するかどうかを決定します。 このセキュリティ ポリシー設定は、次の場合に OS が監査イベントを生成するかどうかを決定します。

  • 特別なログオンが使用されます。 特殊なログオンは、管理者と同等の特権を持つログオンであり、プロセスをより高いレベルに昇格するために使用することができます。

  • 特別なグループのメンバーがログオンします。 特別なグループは、管理者が特定のグループのメンバーがいつログオンしたかを確認できる Windows 機能です。 管理者は、レジストリ内のグループ セキュリティ識別子 (SID) の一覧を設定できます。 ログオン時にこれらの SID のいずれかがトークンに追加され、この監査サブカテゴリが有効になっている場合、セキュリティ イベントがログに記録されます。

  特別な特権を持つユーザーは、システムに変更を加える可能性があります。 アクティビティを追跡することをお勧めします。

  イベント ID	イベント メッセージ
  4964	特殊グループが新しいログオンに割り当てられました。

  • イベント ボリューム: 低

  • 既定値: 成功

• オブジェクト アクセス

  オブジェクト アクセス ポリシー設定と監査イベントを使用すると、ネットワークまたはコンピューター上の特定のオブジェクトまたはオブジェクトの種類へのアクセスの試行を追跡できます。 ファイル、ディレクトリ、レジストリ キー、またはその他のオブジェクトへのアクセスの試行を監査するには、成功イベントまたは失敗イベントに対して適切なオブジェクト アクセス監査サブカテゴリを有効にする必要があります。 たとえば、ファイル 操作を監査するにはファイル システム サブカテゴリを有効にする必要があり、レジストリ のアクセスを監査するにはレジストリ サブカテゴリを有効にする必要があります。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  監査アプリケーションによって生成されたポリシーの展開

  アプリケーション生成の監査ポリシーは、アプリケーションが Windows 監査アプリケーション プログラミング インターフェイス (API) を使用しようとしたときに OS が監査イベントを生成するかどうかを決定します。

  次のイベントは、監査アクティビティを生成できます。

  • アプリケーション クライアント コンテキストの作成、削除、または初期化

  • アプリケーション操作

  Windows 監査 API を使用するように設計されたアプリケーションでは、このサブカテゴリを使用して、それらの API に関連する監査イベントをログに記録できます。 これらの監査イベントのレベル、ボリューム、関連性、および重要度は、それらを生成するアプリケーションによって異なります。 OS は、アプリケーションによって生成されたイベントをログに記録します。

  イベント ID	イベント メッセージ
  4665	アプリケーションのクライアント コンテキストを作成しようとしました。
  4666	アプリケーションが操作を試行しました。
  4667	アプリケーションのクライアント コンテキストが削除されました。
  4668	アプリケーションが初期化されました。

  • イベント ボリューム: インストールされているアプリケーションによる Windows 監査の使用によって異なります
  監査認定サービス ポリシーの展開

  監査認定サービス ポリシーは、Active Directory 証明書サービス (AD CS) 操作の実行時に OS がイベントを生成するかどうかを決定します。 これらの運用イベントの監視は、AD CS ロール サービスが正しく機能していることを確認するために重要です。 AD CS 操作の例を次に示します。

  • AD CS が起動、シャットダウン、バックアップ、または復元されます。

  • 証明書失効リスト (CRL) 関連のタスクが実行されます。

  • 証明書が要求、発行、または取り消されます。

  • AD CS の証明書マネージャーの設定が変更されます。

  • 証明機関 (CA) の構成とプロパティが変更されます。

  • AD CS テンプレートが変更されます。

  • 証明書がインポートされます。

  • CA 証明書が Active Directory Domain Services に発行されます。

  • AD CS ロール サービスのセキュリティアクセス許可が変更されます。

  • キーはアーカイブ、インポート、または取得されます。

  • OCSP レスポンダー サービスが開始または停止されています。

  イベント ID	イベント メッセージ
  4868	証明書マネージャーは保留中の証明書の要求を拒否しました。
  4869	証明書サービスは再送信された証明書の要求を受信しました。
  4870	証明書サービスは証明書を失効化しました。
  4871	証明書サービスは、証明書失効リスト (CRL) を公開する要求を受信しました。
  4872	証明書サービスは証明書失効リスト (CRL) を公開しました。
  4873	証明書の要求の拡張が変更されました。
  4874	証明書要求の1つ以上の属性が変更されました。
  4875	証明書サービスはシャットダウンの要求を受信しました。
  4876	証明書サービスのバックアップが開始されました。
  4877	証明書サービスのバックアップが完了しました。
  4878	証明書サービスの復元が開始されました。
  4879	証明書サービスの復元が完了しました。
  4880	証明書サービスが開始されました。
  4881	証明書サービスが停止されました。
  4882	証明書サービスのセキュリティのアクセス許可が変更されました。
  4883	証明書サービスはアーカイブされたキーを取得しました。
  4884	証明書サービスは証明書をデータベースにインポートしました。
  4885	証明書サービスの監査フィルターが変更されました。
  4886	証明書サービスは証明書の要求を受信しました。
  4887	証明書サービスは証明書の要求を許可し、証明書を発行しました。
  4888	証明書サービスは証明書の要求を拒否しました。
  4889	証明書サービスは証明書の要求の状態を保留に設定しました。
  4890	証明書サービスの証明書マネージャーの設定が変更されました。
  4891	証明書サービスの構成エントリが変更されました。
  4892	証明書サービスのプロパティが変更されました。
  4893	証明書サービスはキーをアーカイブしました。
  4894	証明書サービスはキーをインポートしてアーカイブしました。
  4895	証明書サービスが Active Directory ドメイン サービスに CA 証明書を発行しました。
  4896	証明書データベースから 1 つ以上の行が削除されました。
  4897	ロールの分離が有効になっています。
  4898	証明書サービスがテンプレートを読み込みました。

  • イベント ボリューム: AD CS サービスをホストするサーバーの中または低
  詳細なファイル共有の監査ポリシーを拡張する

  [詳細なファイル共有の監査] ポリシーを使用すると、共有フォルダー上のファイルとフォルダーへのアクセスの試行を監査できます。 [ファイル共有の詳細] 設定では、ファイルまたはフォルダーにアクセスするたびにイベントが記録されますが、[ファイル共有] 設定には、クライアント コンピューターとファイル共有の間に確立された接続に関するイベントが 1 つだけ記録されます。 詳細なファイル共有監査イベントには、アクセス許可に関する詳細情報、またはアクセス許可の付与または拒否に使用されるその他の条件が含まれます。

  注

  共有フォルダーには SACL がありません。 このポリシー設定を有効にすると、システム上の共有ファイルとフォルダーへのすべてのアクセスが監査されます。

  イベント ID	イベント メッセージ
  5145	ネットワーク共有オブジェクトがチェックされ、クライアントに必要なアクセスを許可できるかどうかを確認しました。

  • イベント ボリューム: グループ ポリシーで SYSVOL ネットワーク アクセスが必要なため、ファイル サーバーまたはドメイン コントローラーで高い
  監査ファイル共有ポリシーの展開

  ファイル共有の監査ポリシーは、ファイル共有にアクセスしたときに OS が監査イベントを生成するかどうかを決定します。 共有の作成、削除、共有のアクセス許可の変更時には、監査イベントは生成されません。 ファイル システム監査と組み合わせることで、ファイル共有監査を使用すると、アクセスされたコンテンツ、要求のソース (IP アドレスとポート)、アクセスに使用されたユーザー アカウントを追跡できます。

  注

  共有の SACL はありません。そのため、この設定を有効にすると、システム上のすべての共有へのアクセスが監査されます。

  イベント ID	イベント メッセージ
  5140	ネットワーク共有オブジェクトにアクセスがありました。 このイベントは、Windows Server 2008 R2、Windows Server 2008、Windows 7、または Windows Vista を実行しているコンピューターに記録されます。
  5142	ネットワーク共有オブジェクトが追加されました。
  5143	ネットワーク共有オブジェクトが変更されました。
  5144	ネットワーク共有オブジェクトが削除されました。
  5168	SMB/SMB2 の SPN チェックに失敗しました。

  • イベント ボリューム: グループ ポリシーで SYSVOL ネットワーク アクセスが必要なため、ファイル サーバーまたはドメイン コントローラーで 高い 。
  監査ファイル システム ポリシーを展開する

  ファイル システムの監査ポリシーは、ユーザーがファイル システム オブジェクトにアクセスしようとしたときに OS が監査イベントを生成するかどうかを決定します。 監査イベントは、要求されたアクセスの種類 (書き込み、読み取り、変更など) と要求を行うアカウントが SACL の設定と一致する場合にのみ、SACL を構成したオブジェクトに対してのみ生成されます。

  成功した監査が有効になっている場合、アカウントが一致する SACL を持つファイル システム オブジェクトに正常にアクセスするたびに監査エントリが生成されます。 エラー監査が有効になっている場合、ユーザーが SACL が一致するファイル システム オブジェクトへのアクセスに失敗するたびに監査エントリが生成されます。 これらのイベントは、機密性の高い、または重要であり、追加の監視が必要なファイル オブジェクトのアクティビティを追跡するために不可欠です。

  イベント ID	イベント メッセージ
  4664	ハード リンクの作成が試みられました。
  4985	トランザクションの状態が変更されました。
  5051	ファイルが仮想化されました。

  • イベント ボリューム: ファイル システムの SACL の構成方法によって 異なります 。
  監査フィルター プラットフォーム接続ポリシーの展開

  Audit Filtering Platform Connection ポリシーは、Windows フィルタリング プラットフォームによって接続が許可またはブロックされたときに OS が監査イベントを生成するかどうかを決定します。 Windows フィルター プラットフォーム (WFP) は、Windows Server 2008 と Windows Vista で導入されました。 これにより、独立系ソフトウェア ベンダー (ISV) は、TCP/IP パケットのフィルター処理と変更、接続の監視または承認、インターネット プロトコル セキュリティ (IPsec) で保護されたトラフィックのフィルター処理、RPC のフィルター処理を行うことができます。 このセキュリティ ポリシーを使用すると、次の種類のアクションを監査できます。

  • Windows ファイアウォール サービスは、アプリケーションがネットワーク上の着信接続を受け入れることをブロックします。

  • Windows フィルタリング プラットフォームは、接続を許可またはブロックします。

  • Windows フィルタリング プラットフォームは、ローカル ポートへのバインドを許可またはブロックします。

  • Windows フィルタリング プラットフォームは、アプリケーションやサービスがポートで着信接続を待ち受けることを許可または拒否します。

  イベント ID	イベント メッセージ
  5031	Windows ファイアウォール サービスは、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしました。
  5140	ネットワーク共有オブジェクトにアクセスがありました。 このイベントは、[適用対象] リストで指定されている、サポートされているバージョンの Windows OS を実行しているコンピューターでのみログに記録されます。
  5150	Windows フィルタリング プラットフォームにより、パケットがブロックされました。
  5151	より制限の厳しい Windows フィルタリング プラットフォーム フィルターにより、パケットがブロックされました。
  5154	Windows フィルタリング プラットフォームにより、アプリケーションまたはサービスによるポートでの着信接続のリッスンが許可されました。
  5155	Windows フィルタリング プラットフォームにより、アプリケーションまたはサービスによるポートでの着信接続のリッスンがブロックされました。
  5156	Windows フィルタリング プラットフォームにより、接続が許可されました。
  5157	Windows フィルタリング プラットフォームにより、接続がブロックされました。
  5158	Windows フィルタリング プラットフォームにより、ローカル ポートへのバインドが許可されました。
  5159	Windows フィルタリング プラットフォームにより、ローカル ポートへのバインドがブロックされました。

  • イベント ボリューム: 高。
  監査フィルタリングプラットフォームのパケットドロップポリシーを展開する

  Audit Filtering Platform Packet Drop ポリシーは、Windows フィルタリング プラットフォームによってパケットが破棄されたときに OS が監査イベントを生成するかどうかを決定します。 Windows フィルター プラットフォーム (WFP) は、Windows Server 2008 と Windows Vista で導入されました。 WFP を使用すると、独立系ソフトウェア ベンダー (ISV) は、TCP/IP パケットのフィルター処理と変更、接続の監視または承認、インターネット プロトコル セキュリティ (IPsec) で保護されたトラフィックのフィルター処理、RPC のフィルター処理を行うことができます。 ドロップされたパケットのレートが高い場合は、ネットワーク上のコンピューターへの不正アクセスが試みられたことを示している可能性があります。

  イベント ID	イベント メッセージ
  5152	Windows フィルタリング プラットフォームにより、パケットがブロックされました。
  5153	より制限の厳しい Windows フィルタリング プラットフォーム フィルターにより、パケットがブロックされました。

  • イベント ボリューム: 高。
  監査ハンドル操作ポリシーの拡張

  監査ハンドル操作ポリシーは、オブジェクトへのハンドルが開かれるか閉じられたときに OS によって監査イベントが生成されるかを決定します。 SACL が構成されているオブジェクトのみがこれらのイベントを生成し、試行されたハンドル操作が SACL と一致する場合にのみ生成されます。

  注

  ハンドル操作イベントは、対応するファイル システムまたはレジストリ オブジェクト アクセス サブカテゴリが有効になっているオブジェクトの種類に対してのみ生成されます。 ファイル システムの監査またはレジストリの監査ポリシーを参照してください。

  イベント ID	イベント メッセージ
  4656	オブジェクトに対するハンドルが要求されました。
  4658	オブジェクトに対するハンドルが閉じられました。
  4690	オブジェクトに対するハンドルの複製が試みられました。

  • イベント ボリューム: SACL の構成方法 によって異なります 。
  [監査カーネル オブジェクト ポリシー] を展開する

  Audit Kernel Object ポリシーは、ユーザーがミューテックスとセマフォを含むシステム カーネルにアクセスしようとしたときに、OS が監査イベントを生成するかどうかを決定します。 SACL が一致するカーネル オブジェクトのみがセキュリティ監査イベントを生成します。 生成された監査は、開発者にのみ役立ちます。 通常、カーネル オブジェクトには、 AuditBaseObjects または AuditBaseDirectories 監査オプションが有効になっている場合にのみ、SACL が指定されます。

  注

  監査: グローバルシステムオブジェクトへのアクセスを監査する ポリシー設定は、カーネルオブジェクトのデフォルトのSACLを制御します。

  イベント ID	イベント メッセージ
  4659	オブジェクトに対するハンドルが削除を目的として要求されました。
  4660	オブジェクトが削除されました。
  4661	オブジェクトに対するハンドルが要求されました。
  4663	オブジェクトへのアクセスが試行されました。

  • イベント ボリューム: グローバル システム オブジェクトの監査アクセスが有効な場合は高。
  [その他のオブジェクト アクセス イベントの監査] ポリシーを展開する

  Audit Other Object Access Events ポリシーは、OS がタスク スケジューラ ジョブまたは COM+ オブジェクトの管理の監査イベントを生成するかどうかを決定します。

  スケジューラ ジョブの場合、次のアクションが監査されます。

  • ジョブが作成、削除、有効、無効、または更新されます。

  COM+ オブジェクトの場合、次のアクションが監査されます。

  • カタログ オブジェクトが追加、削除、または更新されます。

  イベント ID	イベント メッセージ
  4671	ブロックされた序数への TBS を介したアクセスがアプリケーションから試行されました。
  4691	オブジェクトへの間接アクセスが要求されました。
  4698	スケジュールされたタスクが作成されました。
  4699	スケジュールされたタスクが削除されました。
  4700	スケジュールされたタスクが有効になりました。
  4701	スケジュールされたタスクが無効になりました。
  4702	スケジュールされたタスクがアップデートされました。
  5148	Windows フィルタリング プラットフォームは DoS 攻撃を検出し、防御モードに入りました。この攻撃に関連付けられているパケットは破棄されます。 このイベントは、サポートされているバージョンの Windows OS を実行しているコンピューターでのみログに記録されます。
  5149	DoS 攻撃は沈静化し、通常の処理が再開されています。 このイベントは、サポートされているバージョンの Windows OS を実行しているコンピューターでのみログに記録されます。
  5888	COM+ カタログのオブジェクトが変更されました。
  5889	COM+ カタログからオブジェクトが削除されました。
  5890	COM+ カタログにオブジェクトが追加されました。

  • イベント ボリューム: 低。
  監査レジストリ ポリシーの展開

  Audit Registry ポリシーは、ユーザーがレジストリ オブジェクトにアクセスしようとしたときに OS が監査イベントを生成するかどうかを決定します。 監査イベントは、指定された SACL を構成したオブジェクトに対してのみ生成され、要求されたアクセスの種類 (書き込み、読み取り、変更など) と要求を行うアカウントが SACL の設定と一致する場合にのみ生成されます。

  成功した監査が有効になっている場合、アカウントが一致する SACL を持つレジストリ オブジェクトに正常にアクセスするたびに監査エントリが生成されます。 エラー監査が有効になっている場合、ユーザーが一致する SACL を持つレジストリ オブジェクトへのアクセスに失敗するたびに監査エントリが生成されます。

  イベント ID	イベント メッセージ
  4657	レジストリ値が変更されました。
  5039	レジストリ キーが仮想化されました。

  • イベント ボリューム: レジストリ SACL の構成方法 によって異なります 。
  リムーバブル記憶域監査ポリシーの拡張

  リムーバブル 記憶域の監査ポリシーは、ユーザーがリムーバブル 記憶域デバイス上のファイル システム オブジェクトにアクセスしようとしたときに、OS が監査イベントを生成するかどうかを決定します。 監査イベントは、リムーバブル 記憶域上の任意のオブジェクトに対するすべての種類のアクセスに対して生成されます。

  このポリシーを有効にすると、アカウントがリムーバブル ストレージ デバイス上のファイル システム オブジェクトにアクセスするたびに監査イベントがログに記録されます。 成功監査では成功したアクセス試行がキャプチャされ、失敗監査では失敗した試行がキャプチャされます。 このポリシーが構成されていない場合、リムーバブル 記憶域デバイス上のファイル システム オブジェクトにアクセスするための監査イベントは生成されません。

  イベント ID	イベント メッセージ
  4656	オブジェクトに対するハンドルが要求されました。
  4658	オブジェクトに対するハンドルが閉じられました。
  4663	オブジェクトへのアクセスが試行されました。

  監査 SAM ポリシーを拡大

  SAM オブジェクトへのアクセスを試みることによって生成されるイベントを監査するための Audit SAM。 SAM は、ローカル コンピューター上のユーザーのユーザー アカウントとセキュリティ記述子を格納する Windows OS を実行しているコンピューターに存在するデータベースです。 SAM オブジェクトには、次のものが含まれます。

  • SAM_ALIAS: ローカル グループ

  • SAM_GROUP: ローカル グループではないグループ

  • SAM_USER: ユーザー アカウント

  • SAM_DOMAIN: ドメイン

  • SAM_SERVER: コンピューター アカウント

  このポリシー設定を構成すると、SAM オブジェクトにアクセスしたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗監査は失敗した試行を記録します。 変更できるのは、 SAM_SERVER の SACL のみです。

  ユーザー オブジェクトとグループ オブジェクトに対する変更は、アカウント管理監査カテゴリによって追跡されます。 ただし、十分な特権を持つユーザー アカウントは、アカウント管理イベントをバイパスして、アカウントとパスワードの情報がシステムに格納されているファイルを変更する可能性があります。

  イベント ID	イベント メッセージ
  4659	オブジェクトに対するハンドルが削除を目的として要求されました。
  4660	オブジェクトが削除されました。
  4661	オブジェクトに対するハンドルが要求されました。
  4663	オブジェクトへのアクセスが試行されました。

  • イベント ボリューム: ドメイン コントローラーで高。
  [監査の集約型アクセス ポリシーのステージング ポリシー] を展開する

  Audit Central Access Policy Staging ポリシーを使用すると、提案された集約型アクセス ポリシーによって許可または拒否されたアクセス許可が、オブジェクトの現在のポリシーとは異なるアクセス試行の監査が可能になります。 このポリシーを構成すると、ユーザーがオブジェクトにアクセスするたびに監査イベントが生成され、現在の集約型アクセス ポリシーによって付与されるアクセス許可が、提案されたポリシーによって付与されるものと異なります。 監査イベントは次のように生成されます。

  • 成功監査は (有効にした場合)、現在のポリシーがアクセスを許可しても、提案されたポリシーがそれを拒否するログのアクセス試行を記録します。

  • 次のシナリオで、アクセス試行の失敗が監査される履歴が記録されます（有効化されている場合）。

    • 現在のポリシーではアクセス権は付与されませんが、提案されたポリシーによってアクセス権が付与されます。

    • プリンシパルは、許可された最大アクセス権を要求し、現在のポリシーによって付与される権限は、提案されたポリシーによって付与されるものとは異なります。

  イベント ID	イベント メッセージ
  4818	提案された集約型アクセス ポリシーは、現在の集約型アクセス ポリシーと同じアクセス許可を付与しません。

  • イベント ボリューム: 提案されたポリシーが現在の集約型アクセス ポリシーと大きく異なる場合、ファイル サーバーで 高 くなる可能性があります。

  • 既定値: 監査なし。

• ポリシーの変更

  ポリシー変更監査イベントを使用すると、ローカル システムまたはネットワーク上の重要なセキュリティ ポリシーの変更を追跡できます。 ポリシーは通常、ネットワーク リソースをセキュリティで保護するために管理者によって確立されるため、これらのポリシーの変更または変更の試行を監視することは、ネットワークのセキュリティ管理の重要な側面になる可能性があります。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  [監査ポリシーの変更ポリシー] を展開する

  監査ポリシー変更ポリシーは、監査ポリシーに変更が加えられたときに OS が監査イベントを生成するかどうかを決定します。 監査ポリシーの変更は、重要なセキュリティ イベントです。 監査される監査ポリシーの変更は次のとおりです。

  • 監査ポリシー オブジェクトのアクセス許可と監査設定の変更 ( auditpol /set /sdを使用)。

  • システム監査ポリシーの変更。

  • セキュリティ イベント ソースの登録と登録解除。

  • ユーザーごとの監査設定の変更。

  • CrashOnAuditFail の値を変更します。

  • [Special Groups]\(特別なグループ\) リスト内の変更。

  • オブジェクトの監査設定の変更 (ファイルまたはレジストリ キーの SACL の変更など)。

  注

  SACL 変更監査は、オブジェクトの SACL が変更され、ポリシー変更カテゴリが構成されている場合に実行されます。 随意アクセス制御リスト (DACL) と所有者変更の監査は、オブジェクト アクセス監査が構成されていて、オブジェクトの SACL が DACL または所有者の変更の監査用に設定されている場合に実行されます。

  イベント ID	イベント メッセージ
  4715	オブジェクトの監査ポリシー (SACL) が変更されました。
  4719	システムの監査ポリシーが変更されました。
  4817	オブジェクトの監査設定が変更されました。 このイベントは、サポートされているバージョンの Windows OS を実行しているコンピューターでのみログに記録されます。
  4902	ユーザー別の監査ポリシー表が作成されました。
  4904	セキュリティ イベントのソースを登録しようとしました。
  4905	セキュリティ イベントのソースを登録解除しようとしました。
  4906	CrashOnAuditFail 値が変更されました。
  4907	オブジェクトの監査設定が変更されました。
  4908	特殊グループのログオン テーブルが変更されました。
  4912	ユーザー別の監査ポリシーが変更されました。

  • イベント ボリューム: 低。

  • 既定値: 成功。

  [監査認証ポリシーの変更ポリシー] を展開する

  認証ポリシーの変更ポリシーは、認証ポリシーに変更が加えられたときに OS が監査イベントを生成するかどうかを決定します。 この設定は、ユーザー アカウントまたはグループに付与されるドメイン レベルおよびフォレスト レベルの信頼と特権の変更を追跡するのに役立ちます。 認証ポリシーに加えられた変更は次のとおりです。

  • フォレストとドメインの信頼の作成、変更、および削除。

  • [コンピューターの構成]、[Windows の設定]、[セキュリティ設定]、[アカウント ポリシー]、[Kerberos ポリシー] の下の Kerberos ポリシーへの変更。

  注

  監査イベントは、管理者が設定を変更した場合ではなく、ポリシーが適用されたときにログに記録されます。

  次のいずれかのユーザー権限がユーザーまたはグループに付与されている場合:

  • ネットワークからこのコンピューターにアクセスします。

  • ローカルでのログオンを許可します。

  • リモート デスクトップ経由でのログオンを許可します。

  • バッチ ジョブとしてログオンします。

  • サービスとしてログオンする

  名前空間の競合は、追加されたトラストが既存の名前空間名と衝突する場合などに発生します。

  イベント ID	イベント メッセージ
  4713	Kerberos ポリシーが変更されました。
  4716	ドメインの信頼情報が変更されました。
  4717	アカウントに、システムのセキュリティ アクセスが許可されました。
  4718	アカウントから、システムのセキュリティ アクセスが削除されました。
  4739	ドメイン ポリシーが変更されました。
  4864	名前空間の競合が検出されました。
  4865	信頼されたフォレスト情報のエントリが追加されました。
  4866	信頼されたフォレスト情報のエントリが削除されました。
  4867	信頼されたフォレスト情報のエントリが変更されました。

  • イベント ボリューム: 低。

  • 既定値: 成功。

  [監査承認ポリシーの変更ポリシー] を展開する

  監査承認ポリシー変更ポリシーは、承認ポリシーに対して特定の変更が行われたときに、OS が監査イベントを生成するかどうかを決定します。 監査できる承認ポリシーの変更は次のとおりです。

  • 認証ポリシーの変更の監査サブカテゴリを使用して監査されるシステム アクセス権を除き、SeCreateTokenPrivilege などのユーザー権限 (特権) の割り当てまたは削除。

  • 暗号化ファイル システム (EFS) ポリシーの変更。

  イベント ID	イベント メッセージ
  4704	ユーザー権限が割り当てられました。
  4705	ユーザー権限が削除されました。
  4706	ドメインに新しい信頼が作成されました。
  4707	ドメインの信頼が削除されました。
  4714	暗号化データの回復ポリシーが変更されました。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  監査フィルタープラットフォームのポリシー変更に関するポリシーを展開

  監査フィルター プラットフォーム ポリシー変更ポリシーは、OS が特定の IPsec および Windows フィルタリング プラットフォーム アクションの監査イベントを生成するかどうかを決定します。 Windows フィルタリング プラットフォーム (WFP) を使用すると、独立系ソフトウェア ベンダー (ISV) は、TCP/IP パケットのフィルター処理と変更、接続の監視または承認、インターネット プロトコル セキュリティ (IPsec) で保護されたトラフィックのフィルター処理、RPC のフィルター処理を行うことができます。 このセキュリティ ポリシー設定は、OS が次の監査イベントを生成するかどうかを決定します。

  • IPsec サービスの状態。

  • IPsec 設定に対する変更。

  • Windows フィルター プラットフォーム エンジンとプロバイダーの状態と変更。

  • IPsec ポリシー エージェント のサービス アクティビティ。

  イベント ID	イベント メッセージ
  4709	IPsec サービスが開始されました。
  4710	IPsec サービスが無効になりました。
  4711	次のいずれかのメッセージを含む場合があります。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用しました。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用しました。 PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用しました。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用できませんでした。 PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用できませんでした。 PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用できませんでした。 PAStore エンジンは、アクティブな IPsec ポリシーの一部のルールをコンピューターで適用できませんでした。 PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。 PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込みました。 PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。 PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込みました。 PAStore エンジンは、アクティブな IPsec ポリシーへの変更をポーリングし、変更がないことを検出しました。
  4712	IPsec サービスは、重大なエラーの可能性を検出しました。
  5040	IPsec 設定に変更が加えられました。 認証セットが追加されました。
  5041	IPsec 設定に変更が加えられました。 認証セットが変更されました。
  5042	IPsec 設定に変更が加えられました。 認証セットが削除されました。
  5043	IPsec 設定に変更が加えられました。 接続セキュリティのルールが追加されました。
  5044	IPsec 設定に変更が加えられました。 接続セキュリティのルールが変更されました。
  5045	IPsec 設定に変更が加えられました。 接続セキュリティのルールが削除されました。
  5046	IPsec 設定に変更が加えられました。 暗号セットが追加されました。
  5047	IPsec 設定に変更が加えられました。 暗号セットが変更されました。
  5048	IPsec 設定に変更が加えられました。 暗号セットが削除されました。
  5440	Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のコールアウトが存在していました。
  5441	Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のフィルターが存在していました。
  5442	Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のプロバイダーが存在していました。
  5443	Windows フィルタリング プラットフォームのベース フィルター エンジンが起動したときに、次のプロバイダー コンテキストが存在していました。
  5444	次のサブレイヤーは、Windows フィルター プラットフォーム の基本フィルター エンジンの開始時に存在していました。
  5446	Windows フィルタリング プラットフォーム コールアウトが変更されました。
  5448	Windows フィルタリング プラットフォーム プロバイダーが変更されました。
  5449	Windows フィルタリング プラットフォーム コンテキストが変更されました。
  5450	Windows フィルタリング プラットフォームサブレイヤーが変更されました。
  5456	PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用しました。
  5457	PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーをコンピューターで適用できませんでした。
  5458	PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用しました。
  5459	PAStore エンジンは、Active Directory 記憶域の IPsec ポリシーのローカルにキャッシュされたコピーをコンピューターで適用できませんでした。
  5460	PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用しました。
  5461	PAStore エンジンは、ローカル レジストリ記憶域の IPsec ポリシーをコンピューターで適用できませんでした。
  5462	PAStore エンジンは、アクティブな IPsec ポリシーの一部のルールをコンピューターで適用できませんでした。 IP セキュリティ モニター スナップインを使って問題を診断してください。
  5463	PAStore エンジンは、アクティブな IPsec ポリシーへの変更をポーリングし、変更がないことを検出しました。
  5464	PAStore エンジンは、アクティブな IPsec ポリシーへの変更をポーリングして変更を検出し、それらの変更を IPsec サービスに適用しました。
  5465	PAStore エンジンは、IPsec ポリシーの強制再読み込みのコントロールを受け取り、コントロールを正常に処理しました。
  5466	PAStore エンジンは、Active Directory IPsec ポリシーの変更をポーリングし、Active Directory に到達できないと判断したため、Active Directory IPsec ポリシーのキャッシュされたポリシーを代わりに使用します。 前回のポーリング以降 Active Directory IPsec ポリシーに加えられた変更を適用できませんでした。
  5467	PAStore エンジンは、Active Directory IPsec ポリシーの変更をポーリングし、Active Directory に到達できると判断しましたが、ポリシーに変更がないことを検出しました。 Active Directory IPsec ポリシーのキャッシュされたコピーは使用されなくなりました。
  5468	PAStore エンジンは、Active Directory IPsec ポリシーの変更をポーリングして、Active Directory に到達できると判断し、ポリシーの変更を検出したため、それらの変更を適用しました。 Active Directory IPsec ポリシーのキャッシュされたコピーは使用されなくなりました。
  5471	PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込みました。
  5472	PAStore エンジンは、ローカル記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。
  5473	PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込みました。
  5474	PAStore エンジンは、ディレクトリ記憶域の IPsec ポリシーをコンピューターで読み込むことができませんでした。
  5477	PAStore エンジンは、クイック モード フィルターを追加できませんでした。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  監査 MPSSVC Rule-Level ポリシー変更ポリシーを展開

  監査 MPSSVC Rule-Level ポリシー変更ポリシーは、Microsoft Protection Service (MPSSVC.exe) のポリシー 規則に変更が加えられたときに、OS が監査イベントを生成するかどうかを決定します。

  Windows ファイアウォールによって使用される Microsoft Protection サービスは、トロイの木馬やスパイウェアなどのインターネットにバインドされた脅威に対するコンピューターの脅威保護の不可欠な部分です。 追跡対象のアクティビティは次のとおりです。

  • Windows ファイアウォール サービスの起動時にアクティブなポリシー。

  • Windows ファイアウォール規則の変更。

  • Windows ファイアウォールの例外リストに対する変更。

  • Windows ファイアウォール設定の変更。

  • 規則は無視されるか、Windows ファイアウォール サービスによって適用されません。

  • Windows ファイアウォールのグループ ポリシー設定に対する変更。

  ファイアウォール規則の変更は、コンピューターのセキュリティ状態と、ネットワーク攻撃からどの程度保護されているかを理解するために重要です。

  イベント ID	イベント メッセージ
  4944	次のポリシーは、Windows ファイアウォールの起動時にアクティブでした。
  4945	Windows ファイアウォールの起動時に規則が表示されました。
  4946	Windows ファイアウォールの例外の一覧が変更されました。 規則が追加されました。
  4947	Windows ファイアウォールの例外の一覧が変更されました。 規則が変更されました。
  4948	Windows ファイアウォールの例外の一覧が変更されました。 規則が削除されました。
  4949	Windows ファイアウォールの設定が既定値に戻されました。
  4950	Windows ファイアウォールの設定が変更されました。
  4951	メジャー バージョン番号が Windows ファイアウォールで認識されなかったため、規則が無視されました。
  4952	規則のマイナ バージョン番号が Windows ファイアウォールで認識されなかったため、規則の一部が無視されました。 規則のその他の部分は適用されます。
  4953	Windows ファイアウォールは、規則を解析できなかったため、規則を無視しました。
  4954	Windows ファイアウォールのグループ ポリシー設定が変更されました。 新しい設定が適用されています。
  4956	Windows ファイアウォールでアクティブなプロファイルが変更されました。
  4957	Windows ファイアウォールでは、次の規則が適用されませんでした。
  4958	この規則は、このコンピューターで構成されていない項目を参照しているため、Windows ファイアウォールでは次の規則が適用されませんでした。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  [その他のポリシー変更イベントの監査] ポリシーを展開する

  [その他のポリシー変更イベントの監査] ポリシーは、ポリシー変更カテゴリで監査されていないセキュリティ ポリシー変更の監査イベントを OS が生成するかどうかを決定します。 監査できるポリシー変更カテゴリのその他のアクティビティは次のとおりです。

  • トラステッド プラットフォーム モジュール (TPM) の構成変更。

  • カーネル モード暗号化自己テスト。

  • 暗号化プロバイダーの操作。

  • 暗号化コンテキストの操作または変更。

  イベント ID	イベント メッセージ
  4670	オブジェクトのアクセス許可が変更されました。
  4909	TBS のローカル ポリシー設定が変更されました。
  4910	TBS のグループ ポリシー設定が変更されました。
  5063	暗号化プロバイダーの操作が試行されました。
  5064	暗号化コンテキストの操作が試行されました。
  5065	暗号化コンテキストの変更が試行されました。
  5066	暗号化関数の操作が試行されました。
  5067	暗号化関数の変更が試行されました。
  5068	暗号化関数のプロバイダーの操作が試行されました。
  5069	暗号化関数のプロパティの操作が試行されました。
  5070	暗号化関数のプロパティの変更が試行されました。
  5447	Windows Filtering Platform フィルターが変更されました。
  6144	グループ ポリシー オブジェクトのセキュリティ ポリシーが正常に適用されました。
  6145	グループ ポリシー オブジェクトのセキュリティ ポリシーの処理中に 1 つ以上のエラーが発生しました。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

• 特権の使用

  ネットワーク上のアクセス許可は、ユーザーまたはコンピューターが定義されたタスクを完了するために付与されます。 Privilege Use セキュリティ ポリシー設定と監査イベントを使用すると、1 つ以上のシステムでの特定のアクセス許可の使用を追跡できます。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  [機密性の低い特権の使用の監査] ポリシーを拡張する

  機密性の低い特権の使用の監査ポリシーは、機密性の低い特権 (ユーザー権限) が使用されたときに OS が監査イベントを生成するかどうかを決定します。 次の特権は機密性が高くないものです。

  • ワークステーションをドメインに追加する

  • プロセスのメモリ クォータの増加

  • ローカル ログオンを許可

  • ターミナル サービス経由でのログオンを許可する

  • 走査チェックのバイパス

  • システム時刻の変更

  • ページ ファイルの作成

  • グローバル オブジェクトの作成

  • 永続的共有オブジェクトの作成

  • シンボリック リンクの作成

  • ネットワークからのこのコンピューターへのアクセスを拒否する

  • バッチ ジョブとしてのログオン権限を拒否する

  • サービスとしてのログオン権限を拒否する

  • ローカルでのログオンを拒否する

  • ターミナル サービスを使用してログオンを拒否する

  • リモート コンピューターからの強制シャットダウン

  • プロセス ワーキング セットの増加

  • スケジューリング優先順位の繰り上げ

  • メモリ内のページのロック

  • バッチ ジョブとしてログオンする

  • サービスとしてログオン

  • オブジェクト ラベルの変更

  • ボリュームの保守タスクを実行

  • 単一プロセスのプロファイル

  • システム パフォーマンスのプロファイル

  • ドッキング ステーションからコンピューターを削除

  • システムのシャットダウン

  • ディレクトリ サービス データの同期化

  このポリシー設定を構成すると、機密性の高い特権が呼び出されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗監査は失敗した試行を記録します。

  イベント ID	イベント メッセージ
  4672	新しいログオンに特権が割り当てられました。
  4673	特権のあるサービスが呼び出されました。
  4674	特権のあるオブジェクトで操作が試行されました。

  • イベント ボリューム: 非常に高い。
  [その他の特権使用イベントの監査ポリシーを拡張]

  Audit Other Privilege Use Events ポリシーは使用されません。

  [機密性の高い特権の使用の監査] ポリシーを展開する

  機密性の高い特権の使用ポリシーは、機密性の高い特権 (ユーザー権限) が使用されたときに OS が監査イベントを生成するかどうかを決定します。 監査できるアクションは次のとおりです。

  • 特権サービスが呼び出されます。

  • 次のいずれかの特権が呼ばれます。

    • OS の一部として機能する

    • ファイルとディレクトリのバックアップ

    • トークン オブジェクトの作成

    • プログラムのデバッグ

    • コンピューターとユーザー アカウントに委任時の信頼を付与

    • セキュリティ監査を生成する

    • 認証後にクライアントを偽装

    • デバイス ドライバーのロードとアンロード

    • 監査とセキュリティ ログの管理

    • ファームウェア環境値の修正

    • プロセス レベル トークンを置き換える

    • ファイルとディレクトリの復元

    • ファイルとその他のオブジェクトの所有権の取得

  このポリシー設定を構成すると、機密性の高い特権要求が行われたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗監査は失敗した試行を記録します。

  イベント ID	イベント メッセージ
  4672	新しいログオンに特権が割り当てられました。
  4673	特権のあるサービスが呼び出されました。
  4674	特権のあるオブジェクトで操作が試行されました。

  • イベント ボリューム: 高。

• システム

  システム セキュリティ ポリシー設定と監査イベントを使用すると、他のカテゴリに含まれていないコンピューターに対するシステム レベルの変更を追跡し、セキュリティに影響を与える可能性があります。 このカテゴリには、次のサブカテゴリが含まれます。

  
  
  [監査 IPsec ドライバー ポリシー] を展開する

  IPsec ドライバーの監査ポリシーは、OS が IPsec ドライバーのアクティビティの監査イベントを生成するかどうかを決定します。 IPsec ドライバーは、アクティブな IPsec ポリシーの IP フィルター 一覧を使用して、セキュリティで保護する必要がある送信 IP パケットと、検証と復号化が必要な受信 IP パケットを監視します。 このセキュリティ ポリシー設定は、IPsec ドライバーの次のアクティビティを報告します。

  • IPsec サービスの起動とシャットダウン。

  • 整合性チェックエラーが原因で破棄されたパケット。

  • リプレイ チェックエラーが原因で破棄されたパケット。

  • プレーンテキストであるために破棄されたパケット。

  • 正しくないセキュリティ パラメーター インデックス (SPI) で受信されたパケット。 これは、ハードウェアの誤動作や相互運用性の問題を示している可能性があります。

  • IPsec フィルターの処理に失敗しました。

  IPsec フィルター ドライバーによるパケットのドロップ率が高い場合は、承認されていないシステムによるネットワークへのアクセスの試行を示している可能性があります。 IPsec フィルターの処理に失敗すると、一部のネットワーク インターフェイスが IPsec フィルターによって提供される保護を受け入れられない可能性があるため、潜在的なセキュリティ リスクが生じます。

  イベント ID	イベント メッセージ
  4960	IPsec は、整合性チェックに失敗した着信パケットを破棄しました。 この問題が解決しない場合は、ネットワークの問題、またはパケットがこのコンピューターへの転送中に変更されていることを示している可能性があります。 リモート コンピューターから送信されたパケットとこのコンピューターが受信するパケットが同じであることを確認してください。 このエラーも、他の IPsec 実装との相互運用性の問題を示している可能性があります。
  4961	IPsec は、リプレイ チェックに失敗した着信パケットを破棄しました。 この問題が解決しない場合、このコンピューターに対するリプレイ攻撃を示している可能性があります。
  4962	IPsec は、リプレイ チェックに失敗した着信パケットを破棄しました。 着信パケットのシーケンス番号が小さすぎたため、リプレイでないことを確認できませんでした。
  4963	IPsec は、本来セキュリティで保護されるべき着信のクリアテキストパケットを破棄しました。 これは通常、リモート コンピューターがこのコンピューターに通知せずに IPsec ポリシーを変更したためです。 スプーフィング攻撃の試みの可能性もあります。
  4965	IPsec は、不適切なセキュリティ パラメーター インデックス (SPI) を持つパケットをリモート コンピューターから受信しました。 これは通常、正常に機能しないハードウェアによりパケットが破損しているために発生します。 これらのエラーが解決されない場合、リモート コンピューターから送信されたパケットとこのコンピューターが受信するパケットが同じであることを確認してください。 このエラーも、他の IPsec 実装との相互運用性の問題を示している可能性があります。 その場合、接続が妨害されているのでなければ、これらのイベントは無視できます。
  5478	IPsec サービスが正常に開始しました。
  5479	IPsec サービスが正常にシャットダウンされました。 IPsec サービスがシャットダウンされると、コンピューターでのネットワーク攻撃のリスクが高まったり、コンピューターが潜在的なセキュリティ上のリスクにさらされる可能性があります。
  5480	IPsec サービスは、コンピューター上のネットワーク インターフェイスの完全なリストを取得できませんでした。 この結果、適用された IPsec フィルターによって提供される保護を一部のネットワーク インターフェイスが受けることができないため、潜在的なセキュリティ上のリスクが生じます。 IP セキュリティ モニター スナップインを使って問題を診断してください。
  5483	IPsec サービスは、RPC サーバーを初期化できませんでした。 IPsec サービスを開始できませんでした。
  5484	IPsec サービスで深刻な障害が発生したため、シャットダウンされました。 IPsec サービスがシャットダウンされると、コンピューターでのネットワーク攻撃のリスクが高まったり、コンピューターが潜在的なセキュリティ上のリスクにさらされる可能性があります。
  5485	IPsec サービスは、ネットワーク インターフェイスのプラグ アンド プレイ イベントで一部の IPsec フィルターを処理できませんでした。 この結果、適用された IPsec フィルターによって提供される保護を一部のネットワーク インターフェイスが受けることができないため、潜在的なセキュリティ上のリスクが生じます。 IP セキュリティ モニター スナップインを使って問題を診断してください。

  • イベント ボリューム: 低。

  • 既定値: 監査なし。

  [その他のシステム イベントの監査] ポリシーを展開する

  その他のシステム イベントの監査ポリシーは、OS がさまざまなシステム イベントを監査するかどうかを決定します。 このカテゴリのシステム イベントは次のとおりです。

  • Windows ファイアウォール サービスとドライバーの起動とシャットダウン。

  • Windows ファイアウォール サービスによるセキュリティ ポリシーの処理。

  • 暗号化キー ファイルと移行操作。

  Von Bedeutung

  Windows ファイアウォール サービスを開始できないと、ネットワークの脅威から完全に保護されていないコンピューターが発生する可能性があります。

  イベント ID	イベント メッセージ
  5024	Windows ファイアウォール サービスが正常に開始されました。
  5025	Windows ファイアウォール サービスが停止しました。
  5027	Windows ファイアウォール サービスで、ローカル記憶域からセキュリティ ポリシーを取得できませんでした。 このサービスでは、現在のポリシーが引き続き適用されます。
  5028	Windows ファイアウォール サービスで、新しいセキュリティ ポリシーを解析できませんでした。 このサービスでは、現在適用されているポリシーが引き続き使用されます。
  5029	Windows ファイアウォール サービスで、ドライバーの初期化に失敗しました。 このサービスでは、現在のポリシーが引き続き適用されます。
  5030	Windows ファイアウォール サービスを開始できませんでした。
  5032	Windows ファイアウォールでは、ネットワーク上の着信接続のアプリケーションによる受け入れをブロックしたことをユーザーに通知できませんでした。
  5033	Windows ファイアウォール ドライバが正常に開始しました。
  5034	Windows ファイアウォール ドライバーが停止しました。
  5035	Windows ファイアウォール ドライバーを開始できませんでした。
  5037	Windows ファイアウォール ドライバで、重大なランタイム エラーが検出されました。 サービスを終了します。
  5058	キー ファイルの操作。
  5059	キーの移行操作。
  6400	BranchCache: コンテンツの可用性を検出中に、正しくない形式の応答を受信しました。 このイベントは、サポートされているバージョンの Windows OS を実行しているコンピューターでのみログに記録されます。
  6401	BranchCache: ピアから無効なデータを受信しました。 データが破棄されました。 1
  6402	BranchCache: データを提供するホスト型キャッシュへのメッセージの形式が正しくありません。 1
  6403	BranchCache: ホストされたキャッシュが、正しくない形式の応答をクライアントに送信しました。 1
  6404	BranchCache: ホスト型キャッシュは、プロビジョニングされた SSL 証明書を使用して認証できませんでした。 1
  6405	BranchCache: イベント ID %1 の %2 インスタンスが発生しました。 1
  6406	次のフィルター処理を制御するために %1 が Windows ファイアウォールに登録されました: %2 1
  6407	1% 1
  6408	登録済み製品 %1 失敗し、Windows ファイアウォールが %2 1 のフィルター処理を制御するようになりました

  注

  ¹ このイベントは、サポートされているバージョンの Windows OS を実行しているコンピューターでのみ記録されます。

  • イベント ボリューム: 低。

  • 既定値: 成功 と 失敗。

  監査セキュリティ状態変更ポリシーの展開

  監査セキュリティ状態変更ポリシーは、システムのセキュリティ状態の変更に関する監査イベントを Windows が生成するかどうかを決定します。 OS のセキュリティ状態の変更は次のとおりです。

  • システムの起動とシャットダウン。

  • システム時刻の変更。

  • CrashOnAuditFail からのシステム回復。 このイベントは、 CrashOnAuditFail の後にシステムが再起動した後にログに記録されます。 CrashOnAuditFail が原因でシステムが再起動したときに、一部の監査可能なアクティビティが記録されない場合があります。

  イベント ID	イベント メッセージ
  4608	Windows を起動しています。
  4609	Windows をシャットダウンしています。
  4616	システム時刻が変更されました。
  4621	管理者がシステムを CrashOnAuditFail から回復しました。 管理者以外のユーザーはログインできるようになりました。 一部の監査可能アクティビティが記録されていない可能性があります。

  • イベント ボリューム: 低。

  • 既定値: 成功。

  監査セキュリティ システム拡張機能ポリシーの展開

  監査セキュリティ システム拡張機能ポリシーは、OS がセキュリティ システム拡張機能に関連する監査イベントを生成するかどうかを決定します。 OS のセキュリティ システム拡張機能に対する変更には、次のアクティビティが含まれます。

  • セキュリティ拡張機能コードが読み込まれます (認証、通知、セキュリティ パッケージなど)。 セキュリティ拡張機能コードはローカル セキュリティ機関に登録され、ログオン試行の認証、ログオン要求の送信、アカウントまたはパスワードの変更の通知を受け取るために使用および信頼されます。 この拡張コードの例として、Kerberos や NTLM などのセキュリティ サポート プロバイダーがあります。

  • サービスがインストールされています。 サービスが Service Control Manager に登録されると、監査ログが生成されます。 監査ログには、サービス名、バイナリ、型、開始の種類、およびサービス アカウントに関する情報が含まれています。

  Von Bedeutung

  セキュリティ システム拡張機能またはサービスをインストールまたは読み込もうとすることは、セキュリティ侵害を示す可能性のある重要なシステム イベントです。

  イベント ID	イベント メッセージ
  4610	ローカル セキュリティ機関によって、認証パッケージが読み込まれました。
  4611	信頼されたログオン プロセスがローカル セキュリティ機関に登録されています。
  4614	通知パッケージがセキュリティ アカウント マネージャーにより読み込まれています。
  4622	セキュリティ パッケージがローカル セキュリティ機関によって読み込まれました。
  4697	サービスがシステムにインストールされました。

  • イベント ボリューム: 低。 セキュリティ システム拡張機能イベントは、クライアント コンピューターやメンバー サーバーよりもドメイン コントローラーで生成される頻度が高くなります。

  • 既定値: 監査なし。

  監査システムの整合性ポリシーを展開する

  監査システム整合性ポリシーは、OS がセキュリティ サブシステムの整合性に違反するイベントを監査するかどうかを決定します。 セキュリティ サブシステムの整合性に違反するアクティビティは次のとおりです。

  • 監査イベントは、監査システムの障害により失われます。

  • プロセスは、クライアントの偽装、クライアント アドレス空間への応答、クライアント アドレス空間への読み取り、またはクライアント アドレス空間からの書き込みを試みるために、無効なローカル プロシージャ コール (LPC) ポートを使用します。

  • RPC 整合性違反が検出されました。

  • 実行可能ファイルのハッシュ値が無効なコード整合性違反が検出されました。

  • 暗号化タスクが実行されます。

  Von Bedeutung

  セキュリティ サブシステムの整合性の違反は重要であり、潜在的なセキュリティ攻撃を示している可能性があります。

  イベント ID	イベント メッセージ
  4612	監査メッセージをキューに登録するために割り当てられた内部リソースをすべて使用したため、一部の監査が失われました。
  4615	LPC ポートの無効な使用。
  4618	監視されるセキュリティ イベント パターンが発生しています。
  4816	着信メッセージの解読の際に RPC が整合性違反を検出しました。
  5038	コードの整合性によって、ファイルのイメージ ハッシュが有効でないと判断されました。 このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。
  5056	暗号化自己テストが実行されました。
  5057	暗号化のプリミティブ操作に失敗しました。
  5060	検証操作に失敗しました。
  5061	暗号化操作。
  5062	カーネル モードの暗号化自己テストが実行されました。
  6281	コードの整合性により、イメージ ファイルのページ ハッシュが無効であると判断されました。 このファイルは、ページ ハッシュなしで正しく署名されていないか、未承認の変更によって破損している可能性があります。 無効なハッシュは、ディスク デバイス エラーの可能性を示している可能性があります。 このイベントは、サポートされているバージョンの Windows OS を実行しているコンピューターでのみログに記録されます。

  • イベント ボリューム: 低。

  • 既定値: 成功 と 失敗。

• グローバル オブジェクト アクセス

  グローバル オブジェクト アクセス監査ポリシー設定を使用すると、管理者は、ファイル システムまたはレジストリのオブジェクトの種類ごとにコンピューターの SACL を定義できます。 指定した SACL は、その型のすべてのオブジェクトに自動的に適用されます。

  監査者は、グローバル オブジェクト アクセス監査ポリシー設定の内容を表示することで、システム内のすべてのリソースが監査ポリシーによって保護されていることを証明できます。 たとえば、監査者に "グループ管理者によって行われたすべての変更を追跡する" というポリシー設定が表示された場合、このポリシーが有効であることがわかっています。

  リソース SACL は、診断シナリオにも役立ちます。 たとえば、グローバル オブジェクト アクセス監査ポリシーを設定して、特定のユーザーのすべてのアクティビティをログに記録し、ファイル システムまたはレジストリの "アクセス拒否" イベントを追跡するようにポリシーを有効にすると、管理者はシステム内のどのオブジェクトがユーザー アクセスを拒否しているかをすばやく特定できます。

  ポリシーのプロパティ ページで [ このポリシー設定の定義 ] チェック ボックスをオンにした場合、[ 構成] を選択すると、グローバル SACL にユーザーまたはグループを追加できます。 これにより、ファイル システムのオブジェクトの種類ごとにコンピューターの SACL を定義できます。 指定した SACL は、すべてのファイル システム オブジェクトの種類に自動的に適用されます。

  
  
  ファイル システムの展開 (グローバル オブジェクト アクセス監査) ポリシー

  ファイル システム (グローバル オブジェクト アクセス監査) ポリシーを使用すると、コンピューター全体のファイル システムでグローバル SACL を構成できます。

  ファイルまたはフォルダー SACL とグローバル SACL の両方がコンピューターで構成されている場合、有効な SACL は、ファイルまたはフォルダー SACL とグローバル SACL を組み合わせることによって派生します。 つまり、アクティビティがファイルまたはフォルダー SACL またはグローバル SACL のいずれかに一致する場合、監査イベントが生成されます。

  • イベント ボリューム: 有効な SACL とユーザー アクティビティのレベル によって異なります 。
  レジストリの展開 (グローバル オブジェクト アクセス監査) ポリシー

  レジストリ (グローバル オブジェクト アクセス監査) ポリシーを使用すると、コンピューターのレジストリでグローバル SACL を構成できます。

  レジストリ SACL とグローバル SACL の両方がコンピューターで構成されている場合、有効な SACL は、レジストリ SACL とグローバル SACL を組み合わせることによって派生します。 つまり、アクティビティがレジストリ キー SACL またはグローバル SACL のいずれかに一致すると、監査イベントが生成されます。

  • イベント ボリューム: 有効な SACL とユーザー アクティビティのレベル によって異なります 。