ポリシー CSP - 監査
AccountLogon_AuditCredentialValidation
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditCredentialValidation
このポリシー設定を使用すると、ユーザー アカウントログオン資格情報の検証テストによって生成されたイベントを監査できます。 このサブカテゴリのイベントは、それらの資格情報に対して権限のあるコンピューターでのみ発生します。 ドメイン アカウントの場合、ドメイン コントローラーは権限を持っています。 ローカル アカウントの場合、ローカル コンピューターは権限があります。
ボリューム: ドメイン コントローラーで高い。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 資格情報の確認の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウントログオン> |
AccountLogon_AuditKerberosAuthenticationService
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosAuthenticationService
このポリシー設定を使用すると、Kerberos 認証チケット許可チケット (TGT) 要求によって生成されたイベントを監査できます。
このポリシー設定を構成すると、Kerberos 認証 TGT 要求の後に監査イベントが生成されます。 成功監査は成功した要求を記録し、失敗監査は失敗した要求を記録します。
このポリシー設定を構成しない場合、Kerberos 認証 TGT 要求の後に監査イベントは生成されません。
ボリューム: Kerberos キー配布センター サーバーで高い。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | Kerberos 認証サービスの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウントログオン> |
AccountLogon_AuditKerberosServiceTicketOperations
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditKerberosServiceTicketOperations
このポリシー設定を使用すると、ユーザー アカウントに対して送信された Kerberos 認証チケット許可チケット (TGT) 要求によって生成されたイベントを監査できます。
このポリシー設定を構成すると、ユーザー アカウントに対して Kerberos 認証 TGT が要求された後に監査イベントが生成されます。 成功監査は成功した要求を記録し、失敗監査は失敗した要求を記録します。
このポリシー設定を構成しない場合、Kerberos 認証 TGT がユーザー アカウントに対して要求された後、監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | Kerberos サービス チケット操作の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウントログオン> |
AccountLogon_AuditOtherAccountLogonEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogon_AuditOtherAccountLogonEvents
このポリシー設定を使用すると、資格情報の検証や Kerberos チケットではないユーザー アカウント ログオンに対して送信された資格情報要求に対する応答によって生成されたイベントを監査できます。 現時点では、このサブカテゴリにはイベントはありません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他のアカウント ログオン イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウントログオン> |
AccountLogonLogoff_AuditAccountLockout
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditAccountLockout
このポリシー設定を使用すると、ロックアウトされたアカウントにログオンしようとして失敗した場合に生成されたイベントを監査できます。このポリシー設定を構成すると、アカウントがロックアウトされているため、アカウントがコンピューターにログオンできない場合に監査イベントが生成されます。成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。 ログオン イベントは、ユーザー アクティビティを理解し、潜在的な攻撃を検出するために不可欠です。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | アカウント ロックアウトの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditGroupMembership
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditGroupMembership
このポリシーを使用すると、ユーザーのログオン トークン内のグループ メンバーシップ情報を監査できます。 このサブカテゴリのイベントは、ログオン セッションが作成されたコンピューターで生成されます。 対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。 ネットワーク上の共有フォルダーへのアクセスなど、ネットワーク ログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 この設定を構成すると、成功した各ログオンについて、1 つ以上のセキュリティ監査イベントが生成されます。 [詳細な監査ポリシーの構成]\[システム監査ポリシー]\[ログオン/ログオフ] の [監査ログオン] 設定も有効にする必要があります。 グループ メンバーシップ情報が 1 つのセキュリティ監査イベントに収まらない場合は、複数のイベントが生成されます。
ボリューム: クライアント コンピューターの低。 ドメイン コントローラーまたはネットワーク サーバー上のメディア。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | グループ メンバーシップの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditIPsecExtendedMode
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecExtendedMode
このポリシー設定を使用すると、拡張モード ネゴシエーション中にインターネット キー Exchange プロトコル (IKE) と認証済みインターネット プロトコル (AuthIP) によって生成されたイベントを監査できます。
このポリシー設定を構成すると、IPsec 拡張モード ネゴシエーション中に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、IPsec 拡張モード ネゴシエーション中に監査イベントは生成されません。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IPsec 拡張モードの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditIPsecMainMode
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecMainMode
このポリシー設定を使用すると、メイン モード ネゴシエーション中に、インターネット キー Exchange プロトコル (IKE) と認証済みインターネット プロトコル (AuthIP) によって生成されたイベントを監査できます。
このポリシー設定を構成すると、IPsec メイン モード ネゴシエーション中に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、IPsec メイン モード ネゴシエーション中に監査イベントは生成されません。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IPsec メイン モードの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditIPsecQuickMode
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditIPsecQuickMode
このポリシー設定を使用すると、クイック モード ネゴシエーション中にインターネット キー Exchange プロトコル (IKE) と認証インターネット プロトコル (AuthIP) によって生成されたイベントを監査できます。 このポリシー設定を構成すると、IPsec クイック モード ネゴシエーション中に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。 このポリシー設定を構成しない場合、IPsec クイック モード ネゴシエーション中に監査イベントは生成されません。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IPsec クイック モードの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditLogoff
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogoff
このポリシー設定を使用すると、ログオン セッションの終了によって生成されたイベントを監査できます。 これらのイベントは、アクセスされたコンピューターで発生します。 対話型ログオフの場合、セキュリティ監査イベントは、ユーザー アカウントがログオンしたコンピューターで生成されます。
このポリシー設定を構成すると、ログオン セッションが閉じられたときに監査イベントが生成されます。 成功監査では、セッションを閉じる成功した試行が記録され、失敗はセッションを閉じる試行の失敗を記録します。
このポリシー設定を構成しない場合、ログオン セッションが閉じられたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ログオフの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditLogon
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditLogon
このポリシー設定を使用すると、コンピューターでのユーザー アカウントのログオン試行によって生成されたイベントを監査できます。 このサブカテゴリのイベントはログオン セッションの作成に関連し、アクセスされたコンピューターで発生します。 対話型ログオンの場合、セキュリティ監査イベントは、ユーザー アカウントがログオンしたコンピューターで生成されます。 ネットワーク上の共有フォルダーへのアクセスなど、ネットワーク ログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 次のイベントが含まれます: ログオン試行が成功しました。 ログオン試行に失敗しました。 明示的な資格情報を使用したログオン試行。 このイベントは、プロセスがそのアカウントの資格情報を明示的に指定してアカウントにログオンしようとしたときに生成されます。 これは最も一般的に、スケジュールされたタスクや RUNAS コマンドを使用する場合など、バッチ ログオン構成で発生します。 セキュリティ識別子 (SID) がフィルター処理され、ログオンは許可されていません。
ボリューム: クライアント コンピューターの低。 ドメイン コントローラーまたはネットワーク サーバー上のメディア。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ログオンの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditNetworkPolicyServer
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditNetworkPolicyServer
このポリシー設定を使用すると、RADIUS (IAS) とネットワーク アクセス保護 (NAP) ユーザー アクセス要求によって生成されたイベントを監査できます。 これらの要求には、許可、拒否、破棄、検疫、ロック、ロック解除を指定できます。
このポリシー設定を構成すると、IAS および NAP ユーザー アクセス要求ごとに監査イベントが生成されます。 成功監査は、成功したユーザー アクセス要求を記録し、失敗監査は失敗した試行を記録します。
このポリシー設定を構成しない場合、IAS と NAP のユーザー アクセス要求は監査されません。
ボリューム: NPS および IAS サーバーの中または高。 他のコンピューターにボリュームがありません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 3 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 (既定値) | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ネットワーク ポリシー サーバーの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditOtherLogonLogoffEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditOtherLogonLogoffEvents
このポリシー設定を使用すると、ターミナル サービス セッションの切断など、"ログオン/ログオフ" ポリシー設定でカバーされていない他のログオン/ログオフ関連のイベントを監査できます。 新しいターミナル サービス セッション。 ワークステーションのロックとロック解除。 スクリーン セーバーの呼び出し。 スクリーン セーバーの無視。 Kerberos 再生攻撃の検出。Kerberos 要求が同じ情報で 2 回受信されました。 この状態は、ネットワークの構成ミスが原因である可能性があります。 ユーザーまたはコンピューター アカウントに付与されたワイヤレス ネットワークへのアクセス。 ユーザーまたはコンピューター アカウントに付与された有線 802.1x ネットワークへのアクセス。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他のログオン ログオフ イベントを監査する |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditSpecialLogon
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditSpecialLogon
このポリシー設定を使用すると、次のような特殊なログオンによって生成されたイベントを監査できます。これは、管理者と同等の特権を持ち、プロセスをより高いレベルに昇格させるために使用できるログオンである特別なログオンの使用です。 特別なグループのメンバーによるログオン。 特殊なグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます。 レジストリでグループ セキュリティ識別子 (SID) の一覧を構成できます。 ログオン中にこれらの SID のいずれかがトークンに追加され、サブカテゴリが有効になっている場合、イベントがログに記録されます。 この機能の詳細については、 Microsoft サポート技術情報の947223に関する記事を参照してください。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 特殊なログオンの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountLogonLogoff_AuditUserDeviceClaims
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountLogonLogoff_AuditUserDeviceClaims
このポリシーを使用すると、ユーザーのログオン トークン内のユーザーとデバイスの要求情報を監査できます。 このサブカテゴリのイベントは、ログオン セッションが作成されたコンピューターで生成されます。 対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。 ネットワーク上の共有フォルダーへのアクセスなど、ネットワーク ログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 Active Directory でユーザーのアカウント属性に要求が含まれている場合、ユーザー要求はログオン トークンに追加されます。 Active Directory のデバイスのコンピューター アカウント属性に要求が含まれている場合、デバイス要求はログオン トークンに追加されます。 さらに、ドメインとユーザーがログオンしたコンピューターで複合 ID を有効にする必要があります。 この設定を構成すると、成功した各ログオンについて、1 つ以上のセキュリティ監査イベントが生成されます。 [詳細な監査ポリシーの構成]\[システム監査ポリシー]\[ログオン/ログオフ] の [監査ログオン] 設定も有効にする必要があります。 ユーザーとデバイスの要求情報が 1 つのセキュリティ監査イベントに収まらない場合、複数のイベントが生成されます。
ボリューム: クライアント コンピューターの低。 ドメイン コントローラーまたはネットワーク サーバー上のメディア。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ユーザー デバイス要求の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > ログオン/ログオフ |
AccountManagement_AuditApplicationGroupManagement
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditApplicationGroupManagement
このポリシー設定を使用すると、アプリケーション グループの作成、変更、削除など、アプリケーション グループに対する変更によって生成されたイベントを監査できます。 メンバーがアプリケーション グループに追加または削除されます。
このポリシー設定を構成すると、アプリケーション グループの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、アプリケーション グループが変更されたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | アプリケーション グループの管理の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウント管理> |
AccountManagement_AuditComputerAccountManagement
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditComputerAccountManagement
このポリシー設定を使用すると、コンピューター アカウントの作成時、変更、削除時など、コンピューター アカウントへの変更によって生成されたイベントを監査できます。
このポリシー設定を構成すると、コンピューター アカウントの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、コンピューター アカウントが変更されたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | コンピューター アカウントの管理の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウント管理> |
AccountManagement_AuditDistributionGroupManagement
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditDistributionGroupManagement
このポリシー設定を使用すると、配布グループの作成、変更、削除などの配布グループへの変更によって生成されたイベントを監査できます。 メンバーが配布グループに追加または削除されます。 配布グループの種類が変更されました。
このポリシー設定を構成すると、配布グループの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、配布グループが変更されたときに監査イベントは生成されません。
注
このサブカテゴリのイベントは、ドメイン コントローラーでのみログに記録されます。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 配布グループの管理の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウント管理> |
AccountManagement_AuditOtherAccountManagementEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditOtherAccountManagementEvents
このポリシー設定を使用すると、このカテゴリで扱われていない他のユーザー アカウントの変更によって生成されたイベントを監査できます。たとえば、ユーザー アカウントのパスワード ハッシュにアクセスしました。 これは通常、Active Directory 管理ツールのパスワード移行中に発生します。 パスワード ポリシー チェック API が呼び出されました。 この関数の呼び出しは、悪意のあるアプリケーションがポリシーをテストして、パスワード ディクショナリ攻撃中の試行回数を減らす攻撃の一部となる可能性があります。 次のグループ ポリシー パスの下にある既定のドメイン グループ ポリシーに対する変更: コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー コンピューターの構成\Windows 設定\セキュリティ設定\アカウント ポリシー\アカウント ロックアウト ポリシー。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他のアカウント管理イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウント管理> |
AccountManagement_AuditSecurityGroupManagement
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditSecurityGroupManagement
このポリシー設定を使用すると、セキュリティ グループの作成、変更、削除などのセキュリティ グループへの変更によって生成されたイベントを監査できます。 メンバーがセキュリティ グループに追加または削除されます。 グループの種類が変更されました。
このポリシー設定を構成すると、セキュリティ グループの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、セキュリティ グループが変更されたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | セキュリティ グループの管理の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウント管理> |
AccountManagement_AuditUserAccountManagement
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/AccountManagement_AuditUserAccountManagement
このポリシー設定を使用すると、ユーザー アカウントの変更を監査できます。 イベントには、ユーザー アカウントの作成、変更、削除が含まれます。名前の変更、無効、有効、ロックアウト、またはロック解除。 ユーザー アカウントのパスワードが設定または変更されます。 セキュリティ識別子 (SID) がユーザー アカウントの SID 履歴に追加されます。 Directory Services 復元モードのパスワードが構成されています。 管理ユーザー アカウントに対するアクセス許可が変更されます。 資格情報マネージャーの資格情報がバックアップまたは復元されます。
このポリシー設定を構成すると、ユーザー アカウントの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、ユーザー アカウントが変更されたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ユーザー アカウントの管理の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー アカウント管理> |
DetailedTracking_AuditDPAPIActivity
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditDPAPIActivity
このポリシー設定を使用すると、Data Protection アプリケーション インターフェイス (DPAPI) に対して暗号化または暗号化解除要求が行われたときに生成されるイベントを監査できます。 DPAPI は、保存されているパスワードやキー情報などのシークレット情報を保護するために使用されます。 DPAPI の詳細については、「 データ保護を使用する方法」を参照してください。
このポリシー設定を構成すると、DPAPI に対して暗号化または暗号化解除要求が行われると、監査イベントが生成されます。 成功監査は成功した要求を記録し、失敗監査は失敗した要求を記録します。
このポリシー設定を構成しない場合、DPAPI に対して暗号化または暗号化解除要求が行われた場合、監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DPAPI アクティビティの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > 詳細追跡 |
DetailedTracking_AuditPNPActivity
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditPNPActivity
このポリシー設定を使用すると、プラグ アンド プレイによって外部デバイスが検出されたときに監査できます。
このポリシー設定を構成すると、プラグ アンド プレイによって外部デバイスが検出されるたびに監査イベントが生成されます。 このカテゴリでは、成功の監査のみが記録されます。
このポリシー設定を構成しない場合、プラグ アンド プレイによって外部デバイスが検出されたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PNP アクティビティの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > 詳細追跡 |
DetailedTracking_AuditProcessCreation
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessCreation
このポリシー設定を使用すると、プロセスの作成時または開始時に生成されたイベントを監査できます。 プロセスを作成したアプリケーションまたはユーザーの名前も監査されます。
このポリシー設定を構成すると、プロセスの作成時に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、プロセスの作成時に監査イベントは生成されません。
ボリューム: コンピューターの使用方法によって異なります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | プロセス作成の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > 詳細追跡 |
DetailedTracking_AuditProcessTermination
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditProcessTermination
このポリシー設定を使用すると、プロセスの終了時に生成されたイベントを監査できます。
このポリシー設定を構成すると、プロセスの終了時に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、プロセスの終了時に監査イベントは生成されません。
ボリューム: コンピューターの使用方法によって異なります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | プロセス終了の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > 詳細追跡 |
DetailedTracking_AuditRPCEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditRPCEvents
このポリシー設定を使用すると、受信リモート プロシージャ コール (RPC) 接続を監査できます。
このポリシー設定を構成すると、リモート RPC 接続の試行時に監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、リモート RPC 接続が試行されたときに監査イベントは生成されません。
ボリューム: RPC サーバーで高い。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RPC イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > 詳細追跡 |
DetailedTracking_AuditTokenRightAdjusted
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DetailedTracking_AuditTokenRightAdjusted
このポリシー設定を使用すると、トークンの特権を調整することによって生成されたイベントを監査できます。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 監査 トークンの権利が調整されました |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > 詳細追跡 |
DSAccess_AuditDetailedDirectoryServiceReplication
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDetailedDirectoryServiceReplication
このポリシー設定を使用すると、ドメイン コントローラー間の詳細なActive Directory Domain Services (AD DS) レプリケーションによって生成されたイベントを監査できます。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 詳細なディレクトリ サービス レプリケーションの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > DS アクセス |
DSAccess_AuditDirectoryServiceAccess
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceAccess
このポリシー設定を使用すると、Active Directory Domain Services (AD DS) オブジェクトにアクセスしたときに生成されたイベントを監査できます。 一致するシステム アクセス制御リスト (SACL) を持つ AD DS オブジェクトのみがログに記録されます。 このサブカテゴリのイベントは、以前のバージョンの Windows で使用できるディレクトリ サービス アクセス イベントに似ています。
ボリューム: ドメイン コントローラーで高い。 クライアント コンピューターではなし。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ディレクトリ サービスのアクセスの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > DS アクセス |
DSAccess_AuditDirectoryServiceChanges
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceChanges
このポリシー設定を使用すると、Active Directory Domain Services (AD DS) 内のオブジェクトに対する変更によって生成されたイベントを監査できます。 イベントは、オブジェクトの作成、削除、変更、移動、または削除が行われると記録されます。 可能であれば、このサブカテゴリに記録されるイベントは、オブジェクトのプロパティの古い値と新しい値を示します。 このサブカテゴリのイベントはドメイン コントローラーでのみログに記録され、一致するシステム アクセス制御リスト (SACL) を持つ AD DS 内のオブジェクトのみがログに記録されます。
注
一部のオブジェクトとプロパティに対するアクションでは、スキーマ内のオブジェクト クラスの設定により監査イベントが生成されません。
このポリシー設定を構成すると、AD DS でオブジェクトを変更しようとしたときに監査イベントが生成されます。 成功監査では成功した試行が記録されますが、失敗した試行は記録されません。
このポリシー設定を構成しない場合、AD DS オブジェクト内のオブジェクトを変更しようとすると、監査イベントは生成されません。
ボリューム: ドメイン コントローラーでのみ高い。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ディレクトリ サービスの変更の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > DS アクセス |
DSAccess_AuditDirectoryServiceReplication
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/DSAccess_AuditDirectoryServiceReplication
このポリシー設定を使用すると、2 つのActive Directory Domain Services (AD DS) ドメイン コントローラー間のレプリケーションを監査できます。
このポリシー設定を構成すると、AD DS レプリケーション中に監査イベントが生成されます。 成功監査では、正常なレプリケーションが記録され、失敗した場合は失敗したレプリケーションが記録されます。
このポリシー設定を構成しない場合、AD DS レプリケーション中に監査イベントは生成されません。
ボリューム: ドメイン コントローラー上のメディア。 クライアント コンピューターではなし。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ディレクトリ サービス レプリケーションの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > DS アクセス |
ObjectAccess_AuditApplicationGenerated
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditApplicationGenerated
このポリシー設定を使用すると、Windows 監査アプリケーション プログラミング インターフェイス (API) を使用してイベントを生成するアプリケーションを監査できます。 Windows 監査 API を使用するように設計されたアプリケーションでは、このサブカテゴリを使用して、その関数に関連する監査イベントをログに記録します。 このサブカテゴリのイベントには、アプリケーション クライアント コンテキストの作成が含まれます。 アプリケーション クライアント コンテキストの削除。 アプリケーション クライアント コンテキストの初期化。 Windows 監査 API を使用したその他のアプリケーション操作。
ボリューム: 生成するアプリケーションによって異なります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 生成されたアプリケーションの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditCentralAccessPolicyStaging
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCentralAccessPolicyStaging
このポリシー設定を使用すると、提案されたポリシーによって許可または拒否されたアクセス許可が、オブジェクトの現在の中央アクセス ポリシーと異なるアクセス要求を監査できます。 このポリシー設定を構成すると、ユーザーがオブジェクトにアクセスするたびに監査イベントが生成され、オブジェクトに対する現在の中央アクセス ポリシーによって付与されるアクセス許可が、提案されたポリシーによって付与されるアクセス許可とは異なります。 結果として生成される監査イベントは、次のように生成されます。1) 成功監査は、構成されている場合、現在の中央アクセス ポリシーがアクセスを許可したが、提案されたポリシーがアクセスを拒否した場合のアクセス試行を記録します。 2) 構成されたレコードのアクセス試行時のエラー監査: a) 現在の中央アクセス ポリシーはアクセスを許可しませんが、提案されたポリシーはアクセスを許可します。 b) プリンシパルは、許可されている最大アクセス権を要求し、現在の中央アクセス ポリシーによって付与されるアクセス権は、提案されたポリシーによって付与されるアクセス権とは異なります。 ボリューム: 提案されたポリシーが現在の中央アクセス ポリシーと大きく異なる場合、ファイル サーバーで高くなる可能性があります。
ボリューム: 提案されたポリシーが現在の中央アクセス ポリシーと大きく異なる場合、ファイル サーバーで高くなる可能性があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 集約型アクセス ポリシーのステージングの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditCertificationServices
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditCertificationServices
このポリシー設定を使用すると、Active Directory Certificate Services (AD CS) 操作を監査できます。 AD CS 操作には、AD CS の起動/シャットダウン/バックアップ/復元が含まれます。 証明書失効リスト (CRL) に対する変更。 新しい証明書要求。 証明書の発行。 証明書の失効。 AD CS の証明書マネージャー設定に対する変更。 AD CS の構成の変更。 Certificate Services テンプレートに対する変更。 証明書のインポート。 証明機関証明書の発行は、Active Directory Domain Servicesすることです。 AD CS のセキュリティアクセス許可に対する変更。 キーのアーカイブ。 キーのインポート。 キーの取得。 オンライン証明書状態プロトコル (OCSP) レスポンダー サービスの開始。 オンライン証明書状態プロトコル (OCSP) レスポンダー サービスの停止。
ボリューム: Active Directory 証明書サービスを実行しているコンピューターの中または低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 証明書サービスの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditDetailedFileShare
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditDetailedFileShare
このポリシー設定を使用すると、共有フォルダー上のファイルとフォルダーへのアクセス試行を監査できます。 [ファイル共有の詳細] 設定では、ファイルまたはフォルダーにアクセスするたびにイベントが記録されますが、[ファイル共有] 設定では、クライアントとファイル共有の間に確立されたすべての接続に対して 1 つのイベントのみが記録されます。 詳細なファイル共有監査イベントには、アクセス許可に関する詳細情報、またはアクセス許可の付与または拒否に使用されるその他の条件が含まれます。
- このポリシー設定を構成すると、共有上のファイルまたはフォルダーへのアクセスが試行されたときに監査イベントが生成されます。 管理者は、成功のみ、失敗のみ、または成功と失敗の両方を監査するかどうかを指定できます。
注
共有フォルダーのシステム アクセス制御リスト (SACL) はありません。
- このポリシー設定が有効になっている場合は、システム上のすべての共有ファイルとフォルダーへのアクセスが監査されます。
ボリューム: グループ ポリシーで必要な SYSVOL ネットワーク アクセスが原因で、ファイル サーバーまたはドメイン コントローラーで高くなります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 詳細なファイル共有の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditFileShare
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileShare
このポリシー設定を使用すると、共有フォルダーへのアクセス試行を監査できます。
このポリシー設定を構成すると、共有フォルダーへのアクセスが試行されたときに監査イベントが生成されます。
このポリシー設定が定義されている場合、管理者は成功のみ、失敗のみ、または成功と失敗の両方を監査するかどうかを指定できます。
注
共有フォルダーのシステム アクセス制御リスト (SACL) はありません。
- このポリシー設定が有効になっている場合は、システム上のすべての共有フォルダーへのアクセスが監査されます。
ボリューム: グループ ポリシーで必要な SYSVOL ネットワーク アクセスが原因で、ファイル サーバーまたはドメイン コントローラーで高くなります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ファイル共有の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditFileSystem
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFileSystem
このポリシー設定を使用すると、ユーザーがファイル システム オブジェクトにアクセスしようとする試みを監査できます。 セキュリティ監査イベントは、システム アクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ生成され、要求されたアクセスの種類 (書き込み、読み取り、変更など) と、要求を行うアカウントが SACL の設定と一致する場合にのみ生成されます。 オブジェクト アクセスの監査を有効にする方法の詳細については、「」を参照してください<https://go.microsoft.com/fwlink/?LinkId=122083>。
このポリシー設定を構成すると、アカウントが一致する SACL を持つファイル システム オブジェクトにアクセスするたびに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、アカウントが一致する SACL を持つファイル システム オブジェクトにアクセスするときに監査イベントは生成されません。
注
ファイル システム オブジェクトの SACL は、そのオブジェクトの [プロパティ] ダイアログ ボックスの [セキュリティ] タブを使用して設定できます。
ボリューム: ファイル システムの SACL の構成方法によって異なります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ファイル システムの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditFilteringPlatformConnection
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformConnection
このポリシー設定を使用すると、Windows フィルター プラットフォーム (WFP) によって許可またはブロックされている接続を監査できます。 次のイベントが含まれます:Windows ファイアウォール サービスは、アプリケーションがネットワーク上の受信接続を受け入れることをブロックします。 WFP は接続を許可します。 WFP は接続をブロックします。 WFP では、ローカル ポートへのバインドが許可されます。 WFP は、ローカル ポートへのバインドをブロックします。 WFP は接続を許可します。 WFP は接続をブロックします。 WFP は、アプリケーションまたはサービスが受信接続のポートをリッスンすることを許可します。 WFP は、受信接続のポートでリッスンするアプリケーションまたはサービスをブロックします。
このポリシー設定を構成すると、WFP によって接続が許可またはブロックされたときに監査イベントが生成されます。 成功は、接続が許可されたときに生成されたレコード イベントを監査し、失敗は接続がブロックされたときに生成されたイベントを記録します。
このポリシー設定を構成しない場合、WFP によって接続が許可またはブロックされたときに監査イベントは生成されません。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | フィルタリング プラットフォームの接続の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditFilteringPlatformPacketDrop
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditFilteringPlatformPacketDrop
このポリシー設定を使用すると、Windows フィルタリング プラットフォーム (WFP) によって破棄されたパケットを監査できます。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | フィルタリング プラットフォーム パケットの破棄の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditHandleManipulation
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditHandleManipulation
このポリシー設定を使用すると、オブジェクトへのハンドルが開かれるか閉じられたときに生成されたイベントを監査できます。 一致するシステム アクセス制御リスト (SACL) を持つオブジェクトのみが、セキュリティ監査イベントを生成します。
このポリシー設定を構成すると、ハンドルが操作されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、ハンドルが操作されたときに監査イベントは生成されません。
注
このサブカテゴリのイベントは、対応するオブジェクト アクセス サブカテゴリが有効になっているオブジェクトの種類に対してのみイベントを生成します。 たとえば、ファイル システム オブジェクトのアクセスが有効になっている場合、ハンドル操作のセキュリティ監査イベントが生成されます。 Registry オブジェクトへのアクセスが有効になっていない場合は、操作のセキュリティ監査イベントを処理しても生成されません。
ボリューム: SACL の構成方法によって異なります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ハンドル操作の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditKernelObject
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditKernelObject
このポリシー設定を使用すると、ミューテックスとセマフォを含むカーネルへのアクセス試行を監査できます。 一致するシステム アクセス制御リスト (SACL) を持つカーネル オブジェクトのみが、セキュリティ監査イベントを生成します。
注
[監査: グローバル システム オブジェクトのアクセスを監査する] ポリシー設定は、カーネル オブジェクトの既定の SACL を制御します。
ボリューム: グローバル システム オブジェクトの監査アクセスが有効になっている場合は高いです。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | カーネル オブジェクトの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditOtherObjectAccessEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditOtherObjectAccessEvents
このポリシー設定を使用すると、タスク スケジューラ ジョブまたは COM+ オブジェクトの管理によって生成されたイベントを監査できます。 スケジューラ ジョブの場合、次の監査が行われます: ジョブが作成されました。 ジョブが削除されました。 ジョブが有効になっています。 ジョブが無効になっています。 ジョブが更新されました。 COM+ オブジェクトの場合、次の監査が行われます:Catalog オブジェクトが追加されました。 カタログ オブジェクトが更新されました。 カタログ オブジェクトが削除されました。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他のオブジェクト アクセス イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditRegistry
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRegistry
このポリシー設定を使用すると、レジストリ オブジェクトへのアクセス試行を監査できます。 セキュリティ監査イベントは、システム アクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ生成され、要求されたアクセスの種類 (読み取り、書き込み、変更など) と、要求を行うアカウントが SACL の設定と一致する場合にのみ生成されます。
このポリシー設定を構成すると、アカウントが一致する SACL を持つレジストリ オブジェクトにアクセスするたびに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、アカウントが一致する SACL を持つレジストリ オブジェクトにアクセスするときに監査イベントは生成されません。
注
[アクセス許可] ダイアログ ボックスを使用して、レジストリ オブジェクトに SACL を設定できます。
ボリューム: レジストリ SACL の構成方法によって異なります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | レジストリの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditRemovableStorage
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditRemovableStorage
このポリシー設定を使用すると、リムーバブル ストレージ デバイス上のファイル システム オブジェクトへのユーザーのアクセス試行を監査できます。 セキュリティ監査イベントは、要求されたすべての種類のアクセスに対するすべてのオブジェクトに対してのみ生成されます。
このポリシー設定を構成すると、アカウントがリムーバブル ストレージ上のファイル システム オブジェクトにアクセスするたびに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、アカウントがリムーバブル ストレージ上のファイル システム オブジェクトにアクセスするときに監査イベントは生成されません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | リムーバブル記憶域の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
ObjectAccess_AuditSAM
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/ObjectAccess_AuditSAM
このポリシー設定を使用すると、Security Accounts Manager (SAM) オブジェクトへのアクセス試行によって生成されたイベントを監査できます。 SAM オブジェクトには、SAM_ALIASローカル グループが含まれます。 SAM_GROUP -- ローカル グループではないグループ。 SAM_USER - ユーザー アカウント。 SAM_DOMAIN - ドメイン。 SAM_SERVER - コンピューター アカウント。
このポリシー設定を構成すると、カーネル オブジェクトへのアクセスが試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、カーネル オブジェクトへのアクセスが試行されたときに監査イベントは生成されません。
注
変更できるのは、SAM_SERVERのシステムAccess Controlリスト (SACL) のみです。 ボリューム: ドメイン コントローラーで高い。
ボリューム: ドメイン コントローラーで高い。 グローバル システム オブジェクトのアクセスを監査することによって生成されるイベントの数を減らす方法の詳細については、「グローバル システム オブジェクト のアクセスを監査する」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | SAM の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー > オブジェクト アクセス |
PolicyChange_AuditAuthenticationPolicyChange
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthenticationPolicyChange
このポリシー設定を使用すると、次のような認証ポリシーの変更によって生成されたイベントを監査できます。フォレストとドメインの信頼の作成。 フォレストとドメインの信頼の変更。 フォレストとドメインの信頼の削除。 [コンピューターの構成]、[Windows の設定]、[セキュリティ設定]、[アカウント ポリシー]、[Kerberos ポリシー] の下の Kerberos ポリシーへの変更。 ユーザーまたはグループに対して次のいずれかのユーザー権限を付与する: ネットワークからこのコンピューターにアクセスします。 ローカルでのログオンを許可します。 ターミナル サービス経由でログオンを許可します。 バッチ ジョブとしてログオンします。 サービスにログオンします。 名前空間の競合。 たとえば、新しい信頼が既存の名前空間名と同じ名前を持つ場合などです。
このポリシー設定を構成すると、認証ポリシーの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、認証ポリシーが変更されたときに監査イベントは生成されません。
注
セキュリティ監査イベントは、グループ ポリシーが適用されるとログに記録されます。 設定が変更された時点では発生しません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 認証ポリシーの変更の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー ポリシーの > 変更 |
PolicyChange_AuditAuthorizationPolicyChange
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditAuthorizationPolicyChange
このポリシー設定を使用すると、"認証ポリシーの変更" サブカテゴリを通じて監査されない、SeCreateTokenPrivilege などのユーザー権限 (特権) の割り当てなど、承認ポリシーの変更によって生成されたイベントを監査できます。 SeCreateTokenPrivilege など、"認証ポリシーの変更" サブカテゴリを通じて監査されないユーザー権限 (特権) の削除。 暗号化ファイル システム (EFS) ポリシーの変更。 オブジェクトの Resource 属性に対する変更。 オブジェクトに適用される中央アクセス ポリシー (CAP) に対する変更。
このポリシー設定を構成すると、承認ポリシーの変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、承認ポリシーが変更されたときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 承認ポリシーの変更の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー ポリシーの > 変更 |
PolicyChange_AuditFilteringPlatformPolicyChange
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditFilteringPlatformPolicyChange
このポリシー設定を使用すると、Windows フィルタリング プラットフォーム (WFP) の変更によって生成されたイベント (IPsec サービスの状態など) を監査できます。 IPsec ポリシー設定に対する変更。 Windows ファイアウォール ポリシー設定に対する変更。 WFP プロバイダーとエンジンに対する変更。
このポリシー設定を構成すると、WFP への変更が試行されたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、WFP に変更が発生したときに監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | フィルタリング プラットフォーム ポリシーの変更の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー ポリシーの > 変更 |
PolicyChange_AuditMPSSVCRuleLevelPolicyChange
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditMPSSVCRuleLevelPolicyChange
このポリシー設定を使用すると、Microsoft Protection Service (MPSSVC) によって使用されるポリシー 規則の変更によって生成されたイベントを監査できます。 このサービスは Windows ファイアウォールで使用されます。 イベントには、Windows ファイアウォール サービスの起動時のアクティブなポリシーのレポートが含まれます。 Windows ファイアウォール規則の変更。 Windows ファイアウォールの例外リストに対する変更。 Windows ファイアウォール設定の変更。 ルールは無視されるか、Windows ファイアウォール サービスによって適用されません。 Windows ファイアウォールのグループ ポリシー設定に対する変更。
このポリシー設定を構成した場合、MPSSVC で使用されるポリシー 規則を変更しようとすると、監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、MPSSVC によって使用されるポリシー 規則の変更によって監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | MPSSVC ルール レベルのポリシー変更の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー ポリシーの > 変更 |
PolicyChange_AuditOtherPolicyChangeEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditOtherPolicyChangeEvents
このポリシー設定を使用すると、ポリシー変更カテゴリで監査されない他のセキュリティ ポリシーの変更によって生成されたイベントを監査できます。たとえば、トラステッド プラットフォーム モジュール (TPM) 構成の変更です。 カーネル モード暗号化自己テスト。 暗号化プロバイダーの操作。 暗号化コンテキストの操作または変更。 適用された中央アクセス ポリシー (CSP) の変更。 ブート構成データ (BCD) の変更。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他のポリシー変更イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー ポリシーの > 変更 |
PolicyChange_AuditPolicyChange
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PolicyChange_AuditPolicyChange
このポリシー設定を使用すると、次のようなセキュリティ監査ポリシー設定の変更を監査できます。監査ポリシー オブジェクトの設定のアクセス許可と監査設定。 システム監査ポリシーの変更。 セキュリティ イベント ソースの登録。 セキュリティ イベント ソースの登録を解除します。 ユーザーごとの監査設定に対する変更。 CrashOnAuditFail の値を変更します。 ファイル システムまたはレジストリ オブジェクトのシステム アクセス制御リストに対する変更。 [特殊なグループ] の一覧に対する変更。
注
システム アクセス制御リスト (SACL) の変更監査は、オブジェクトの SACL が変更され、ポリシー変更カテゴリが有効になっている場合に行われます。 任意アクセス制御リスト (DACL) と所有権の変更は、オブジェクト アクセス監査が有効になっていて、オブジェクトの SACL が DACL/Owner 変更の監査用に構成されている場合に監査されます。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 監査ポリシーの変更 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー ポリシーの > 変更 |
PrivilegeUse_AuditNonSensitivePrivilegeUse
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditNonSensitivePrivilegeUse
このポリシー設定を使用すると、機密性の高い特権 (ユーザー権限) を使用して生成されたイベントを監査できます。 次の特権は機密性が高くはありません。信頼された呼び出し元として資格情報マネージャーにアクセスします。 ネットワークからこのコンピューターにアクセスします。 ドメインにワークステーションを追加します。 プロセスのメモリ クォータを調整します。 ローカルでのログオンを許可します。 ターミナル サービス経由でログオンを許可します。 走査チェックをバイパスします。 システム時刻を変更します。 ページ ファイルを作成します。 グローバル オブジェクトを作成します。 永続的な共有オブジェクトを作成します。 シンボリック リンクを作成します。 ネットワークからこのコンピューターへのアクセスを拒否します。 バッチ ジョブとしてのログオンを拒否します。 サービスとしてのログオンを拒否します。 ローカルでのログオンを拒否します。 ターミナル サービスを使用してログオンを拒否します。 リモート システムからの強制的なシャットダウン。 プロセス ワーキング セットを増やします。 スケジュールの優先順位を上げる。 メモリ内のページをロックします。 バッチ ジョブとしてログオンします。 サービスとしてログオンします。 オブジェクト ラベルを変更します。 ボリューム メンテナンス タスクを実行します。 プロファイルの 1 つのプロセス。 プロファイル システムのパフォーマンス。 ドッキング ステーションからコンピューターを削除します。 システムをシャットダウンします。 ディレクトリ サービス データを同期します。
このポリシー設定を構成すると、機密性の高い特権が呼び出されたときに監査イベントが生成されます。 成功監査は成功した呼び出しを記録し、失敗は失敗した呼び出しを記録します。
このポリシー設定を構成しない場合、機密性の高くない特権が呼び出されたときに監査イベントは生成されません。
ボリューム: 非常に高い。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 重要でない特権の使用の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー 特権の > 使用 |
PrivilegeUse_AuditOtherPrivilegeUseEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditOtherPrivilegeUseEvents
使用されていません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他の特権の使用イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー 特権の > 使用 |
PrivilegeUse_AuditSensitivePrivilegeUse
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/PrivilegeUse_AuditSensitivePrivilegeUse
このポリシー設定を使用すると、機密性の高い特権 (ユーザー権限) が使用されたときに生成されるイベントを監査できます。たとえば、特権サービスが呼び出されます。 次のいずれかの特権が呼び出されます。オペレーティング システムの一部として機能します。 ファイルとディレクトリをバックアップします。 トークン オブジェクトを作成します。 プログラムをデバッグします。 委任に対して信頼できるコンピューターアカウントとユーザー アカウントを有効にします。 セキュリティ監査を生成します。 認証後にクライアントを偽装します。 デバイス ドライバーの読み込みとアンロード。 監査ログとセキュリティ ログを管理します。 ファームウェア環境の値を変更します。 プロセス レベルのトークンを置き換えます。 ファイルとディレクトリを復元します。 ファイルまたはその他のオブジェクトの所有権を取得します。
このポリシー設定を構成すると、機密性の高い特権要求が行われたときに監査イベントが生成されます。 成功監査は成功した要求を記録し、失敗監査は失敗した要求を記録します。
このポリシー設定を構成しない場合、機密性の高い特権要求が行われたときに監査イベントは生成されません。
ボリューム: 高。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 重要な特権の使用の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム監査ポリシー 特権の > 使用 |
System_AuditIPsecDriver
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditIPsecDriver
このポリシー設定を使用すると、IPsec フィルター ドライバーによって生成されたイベント (IPsec サービスの起動とシャットダウンなど) を監査できます。 整合性チェックエラーが原因で破棄されたネットワーク パケット。 チェックの再生エラーが原因で破棄されたネットワーク パケット。 プレーンテキストであるために破棄されたネットワーク パケット。 正しくないセキュリティ パラメーター インデックス (SPI) で受信されたネットワーク パケット。 これは、ネットワーク カードが正しく動作していないか、ドライバーを更新する必要があることを示している可能性があります。 IPsec フィルターを処理できない。
このポリシー設定を構成すると、IPsec フィルター ドライバー操作で監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、IPSec フィルター ドライバー操作で監査イベントは生成されません。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IPsec ドライバーの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム 監査ポリシー > システム |
System_AuditOtherSystemEvents
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditOtherSystemEvents
このポリシー設定を使用すると、Windows ファイアウォール サービスとドライバーの起動とシャットダウンのいずれかのイベントを監査できます。 Windows ファイアウォール サービスによるセキュリティ ポリシーの処理。 暗号化キー ファイルと移行操作。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 3 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 (既定値) | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | その他のシステム イベントの監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム 監査ポリシー > システム |
System_AuditSecurityStateChange
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecurityStateChange
このポリシー設定を使用すると、コンピューターの起動とシャットダウンなどのコンピューターのセキュリティ状態の変更によって生成されたイベントを監査できます。 システム時刻の変更。 システムを CrashOnAuditFail から復旧します。これは、セキュリティ イベント ログがいっぱいで、CrashOnAuditFail レジストリ エントリが構成されている場合にシステムが再起動した後にログに記録されます。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 (既定値) | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | セキュリティ状態の変更の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム 監査ポリシー > システム |
System_AuditSecuritySystemExtension
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSecuritySystemExtension
このポリシー設定を使用すると、次のようなセキュリティ システム拡張機能またはサービスに関連するイベントを監査できます。認証、通知、セキュリティ パッケージなどのセキュリティ システム拡張機能が読み込まれ、ローカル セキュリティ機関 (LSA) に登録されます。 これは、ログオン試行の認証、ログオン要求の送信、アカウントまたはパスワードの変更に使用されます。 セキュリティ システム拡張機能の例としては、Kerberos と NTLM があります。 サービスがインストールされ、Service Control Manager に登録されます。 監査ログには、サービス名、バイナリ、型、開始の種類、およびサービス アカウントに関する情報が含まれています。
このポリシー設定を構成すると、セキュリティ システム拡張機能を読み込もうとしたときに監査イベントが生成されます。 成功監査は成功した試行を記録し、失敗は失敗した試行を記録します。
このポリシー設定を構成しない場合、セキュリティ システム拡張機能を読み込もうとしたときに監査イベントは生成されません。
ボリューム: 低。 セキュリティ システム拡張機能イベントは、クライアント コンピューターやメンバー サーバーよりもドメイン コントローラーで生成される頻度が高くなります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | セキュリティ システムの拡張の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム 監査ポリシー > システム |
System_AuditSystemIntegrity
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1803 [10.0.17134.1039] 以降 ✅Windows 10 Version 1809 [10.0.17763.774] 以降 ✅Windows 10バージョン 1903 [10.0.18362.329] 以降 ✅Windows 10バージョン 2004 [10.0.19041] 以降 |
./Device/Vendor/MSFT/Policy/Config/Audit/System_AuditSystemIntegrity
このポリシー設定を使用すると、セキュリティ サブシステムの整合性に違反するイベント (監査システムに問題があるためにイベント ログに書き込むことができなかったイベント) を監査できます。 クライアント アドレス空間との間で応答、読み取り、または書き込みを行ってクライアントを偽装しようとして無効なローカル プロシージャ コール (LPC) ポートを使用するプロセス。 システムの整合性を損なうリモート プロシージャ コール (RPC) の検出。 コードの整合性によって決定されたとおりに無効な実行可能ファイルのハッシュ値の検出。 システムの整合性を損なう暗号化操作。
ボリューム: 低。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 3 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | Off/None。 |
| 1 | 成功。 |
| 2 | 失敗。 |
| 3 (既定値) | 成功と失敗。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | システムの整合性の監査 |
| パス | Windows 設定 > セキュリティ設定 > 高度な監査ポリシー構成 > システム 監査ポリシー > システム |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示