付録3: コード整合性イベント ログとシステム監査を有効にする

コードの整合性でのイベント ログとシステム監査の有効化

コード整合性イベント ログとシステム監査 からの抜粋:

コード整合性は、ドライバー署名の検証を実装するカーネル モード コンポーネントです。 イメージ検証に関連するシステム イベントが生成され、コード整合性ログに情報が記録されます。

• コード整合性操作ログ ビューには、イメージ検証エラー イベントのみが表示されます。

• コード整合性の詳細ログ ビューには、署名の検証が成功したイベントが表示されます。

次の手順では、コード整合性の詳細イベント ログを有効にして、成功したすべてのオペレーティング システム ローダーとカーネル モードのイメージ検証イベントを表示する方法を示します。

コード整合性の詳細イベント ログを有効にするには

システム イベント監査ログの有効化 からの抜粋:

冗長ログを有効にするには、次の手順に従います。

1. 管理者特権のコマンド プロンプト ウィンドウを開きます。

2. コマンド ラインでEventvwr.exeを実行します。

3. イベント ビューアーの左側のウィンドウにあるイベント ビューアー フォルダー内で、次のサブフォルダーのシーケンスを展開します。

   1. アプリケーションとサービス ログ

   2. Microsoft

   3. Windows

4. Windows フォルダーの 下にあるコード整合性 サブフォルダーを 展開して、コンテキスト メニューを表示 します。

5. [表示] を選びます。

6. [分析ログとデバッグ ログ の表示] を選択します。 イベント ビューアーは、次を含むサブツリーを表示します。操作フォルダーと詳細フォルダー。

7. [詳細] を右クリックし、ポップアップ コンテキスト メニューから [プロパティ] を選択します。

8. [プロパティ] ダイアログ ボックスの [全般] タブを選択し、プロパティ ページの中央付近にある [ログ記録を有効にする] オプションを選択します。 これにより、詳細ログが有効になります。

9. コンピューターを再起動して、これらの変更を反映します。

システム イベント レコードを有効にすることもできます。これには、コード整合性イメージ検証エラー イベントが含まれます。 これらのイベントは、署名エラーが原因で Windows カーネルがドライバーの読み込みに失敗したときに生成されます。 同様のイベントは、コード整合性操作イベント ログ ビューにも記録されます

失敗した操作のシステム カテゴリで監査イベントを生成するように監査ポリシーを有効にするには

セキュリティ監査ポリシーを有効にして監査ログの負荷エラーをキャプチャするには、次の手順に従います。

1. 管理者特権のコマンド プロンプト ウィンドウを開きます。 管理者特権のコマンド プロンプト ウィンドウを開くには、Cmd.exeへのデスクトップ ショートカットを作成し、Cmd.exeショートカットを選択して長押し (または右クリック) し、[管理者として実行]を選択します。

2. 管理者特権でのコマンド プロンプトで、次のコマンドを実行します。

   Auditpol /set /Category:System /failure:enable
   

3. コンピューターを再起動して、これらの変更を反映します。

次のスクリーン ショットは、Auditpol を使用してセキュリティ監査を有効にする方法を示しています。