セキュリティ監査ポリシーの詳細設定 (Windows 10)

IT プロフェッショナル向けのこのリファレンスでは、次の情報が提供されます。

• Windows で使用できる高度な監査ポリシー設定
• これらの設定で生成される監査イベント。

[セキュリティ設定]\[高度な監査ポリシー構成] のセキュリティ監査ポリシー設定は、次のような正確に定義されたアクティビティを追跡することで、ビジネス関連およびセキュリティ関連の重要なルールに対するorganization監査コンプライアンスを支援します。

• グループ管理者が、財務情報を含むサーバー上の設定またはデータを変更しました。
• 定義されたグループ内の従業員が重要なファイルにアクセスしました。
• 検出されないアクセスに対する検証可能なセーフガードとして、正しいシステム アクセス制御リスト (SACL) が次のいずれかに適用されます。
  • すべてのファイルとフォルダー
  • コンピューターのレジストリ キー
  • ファイル共有。

これらの監査ポリシー設定には、ローカル コンピューターのローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用するか、グループ ポリシーを使用してアクセスできます。

これらの高度な監査ポリシー設定を使用すると、監視する動作のみを選択できます。 次の種類の動作の監査結果を除外できます。

• それはあなたにほとんどまたはまったく関心がありません
• 過剰な数のログ エントリが作成されます。

さらに、セキュリティ監査ポリシーはドメイン グループ ポリシー オブジェクトを使用して適用できるため、監査ポリシー設定を変更、テスト、および選択したユーザーとグループに対して比較的簡単に展開できます。 [セキュリティ設定]\[高度な監査ポリシーの構成] の監査ポリシー設定は、次のカテゴリで使用できます。

アカウント ログオン

このカテゴリのポリシー設定を構成すると、ドメイン コントローラーまたはローカルのセキュリティ アカウント マネージャー (SAM) でアカウント データを認証しようとする試みを文書化するのに役立ちます。 ログオンとログオフのポリシー設定とイベントとは異なり、アカウント ログオン設定とイベントは、使用されるアカウント データベースに重点を置きます。 このカテゴリには、次のサブカテゴリが含まれています。

• 資格情報の確認の監査
• Kerberos 認証サービスの監査
• Kerberos サービス チケット操作の監査
• その他のアカウント ログオン イベントの監査

アカウント管理

このカテゴリのセキュリティ監査ポリシー設定を使用して、ユーザーとコンピューターのアカウントとグループの変更を監視できます。 このカテゴリには、次のサブカテゴリが含まれています。

• アプリケーション グループの管理の監査
• コンピューター アカウントの管理の監査
• 配布グループの管理の監査
• その他のアカウント管理イベントの監査
• セキュリティ グループの管理の監査
• ユーザー アカウントの管理の監査

詳細な追跡

セキュリティ ポリシー設定と監査イベントの詳細な追跡は、次の目的で使用できます。

• そのコンピューター上の個々のアプリケーションとユーザーのアクティビティを監視するには
• コンピューターの使用方法を理解する。

このカテゴリには、次のサブカテゴリが含まれています。

• DPAPI アクティビティの監査
• PNP アクティビティの監査
• プロセス作成の監査
• プロセス終了の監査
• RPC イベントの監査
• 監査 トークンの権利が調整されました

DS Access

DS Access セキュリティ監査ポリシー設定では、Active Directory Domain Services (AD DS) 内のオブジェクトへのアクセスと変更の試行の詳細な監査証跡が提供されます。 これらの監査イベントは、ドメイン コントローラーでのみログに記録されます。 このカテゴリには、次のサブカテゴリが含まれています。

• 詳細なディレクトリ サービス レプリケーションの監査
• ディレクトリ サービスのアクセスの監査
• ディレクトリ サービスの変更の監査
• ディレクトリ サービス レプリケーションの監査

ログオン/ログオフ

ログオン/ログオフ セキュリティ ポリシー設定と監査イベントを使用すると、コンピューターへのログオン試行を対話形式で、またはネットワーク経由で追跡できます。 これらのイベントは、ユーザー アクティビティを追跡し、ネットワーク リソースに対する潜在的な攻撃を特定するために特に役立ちます。 このカテゴリには、次のサブカテゴリが含まれています。

• アカウント ロックアウトの監査
• ユーザー要求/デバイスの信頼性情報の監査
• IPsec 拡張モードの監査
• グループ メンバーシップの監査
• IPsec メイン モードの監査
• IPsec クイック モードの監査
• ログオフの監査
• ログオンの監査
• ネットワーク ポリシー サーバーの監査
• その他のログオン/ログオフ イベントの監査
• 特殊なログオンの監査

オブジェクト アクセス

オブジェクト アクセス ポリシー設定と監査イベントを使用すると、ネットワークまたはコンピューター上の特定のオブジェクトまたはオブジェクトの種類へのアクセス試行を追跡できます。 ファイル、ディレクトリ、レジストリ キー、またはその他のオブジェクトへのアクセス試行を監査するには、成功イベントや失敗イベントに対して適切なオブジェクト アクセス監査サブカテゴリを有効にします。 たとえば、ファイル システムのサブカテゴリを有効にしてファイル操作を監査する必要があります。レジストリ のアクセスを監査するには、レジストリ サブカテゴリを有効にする必要があります。

これらの監査ポリシーが外部監査者に有効であることを証明することは、より困難です。 継承されたすべてのオブジェクトに適切な SACL が設定されていることを簡単に確認する方法はありません。 この問題に対処するには、「 グローバル オブジェクト アクセス監査」を参照してください。

このカテゴリには、次のサブカテゴリが含まれています。

• 生成されたアプリケーションの監査
• 証明書サービスの監査
• 詳細なファイル共有の監査
• ファイル共有の監査
• ファイル システムの監査
• フィルタリング プラットフォームの接続の監査
• フィルタリング プラットフォーム パケットの破棄の監査
• ハンドル操作の監査
• カーネル オブジェクトの監査
• その他のオブジェクト アクセス イベントの監査
• レジストリの監査
• リムーバブル記憶域の監査
• SAM の監査
• 集約型アクセス ポリシーのステージングの監査

ポリシーの変更

ポリシー変更監査イベントを使用すると、ローカル システムまたはネットワーク上の重要なセキュリティ ポリシーの変更を追跡できます。 ポリシーは通常、ネットワーク リソースをセキュリティで保護するために管理者によって確立されるため、これらのポリシーに対する変更 (またはその試行) を追跡することは、ネットワークのセキュリティ管理の重要な側面です。 このカテゴリには、次のサブカテゴリが含まれています。

• 監査ポリシーの変更の監査
• 認証ポリシーの変更の監査
• 承認ポリシーの変更の監査
• フィルタリング プラットフォーム ポリシーの変更の監査
• MPSSVC ルールレベル ポリシーの変更の監査
• その他のポリシー変更イベントの監査

特権の使用

ネットワークに対するアクセス許可は、ユーザーまたはコンピューターが定義されたタスクを完了するために付与されます。 特権 セキュリティ ポリシー設定と監査イベントを使用すると、1 つ以上のシステムでの特定のアクセス許可の使用を追跡できます。 このカテゴリには、次のサブカテゴリが含まれています。

• 機密性の高い特権の使用を監査する
• 重要な特権の使用の監査
• その他の特権の使用イベントの監査

System

システム セキュリティ ポリシー設定と監査イベントを使用すると、コンピューターに対する次の種類のシステム レベルの変更を追跡できます。

• 他のカテゴリには含まれません
• セキュリティに影響を与える可能性があります。

このカテゴリには、次のサブカテゴリが含まれています。

• IPsec ドライバーの監査
• その他のシステム イベントの監査
• セキュリティ状態の変更の監査
• セキュリティ システムの拡張の監査
• システムの整合性の監査

グローバル オブジェクト アクセス監査

グローバル オブジェクト アクセス監査ポリシー設定を使用すると、管理者は、ファイル システムまたはレジストリのオブジェクトの種類ごとにコンピューター システム アクセス制御リスト (SACL) を定義できます。 指定した SACL は、その型のすべてのオブジェクトに自動的に適用されます。 監査者は、システム内のすべてのリソースが監査ポリシーによって保護されていることを証明できます。 このタスクは、グローバル オブジェクト アクセス監査ポリシー設定の内容を表示することで実行できます。 たとえば、監査者に "グループ管理者によって行われたすべての変更を追跡する" というポリシー設定が表示される場合、このポリシーが有効であることがわかっています。

リソース SACL は、診断シナリオにも役立ちます。 たとえば、管理者は、システム内のどのオブジェクトがユーザー アクセスを拒否するかを、次の方法ですばやく識別します。

• グローバル オブジェクト アクセス監査ポリシーを設定して、特定のユーザーのすべてのアクティビティをログに記録する
• ファイル システムまたはレジストリの "アクセスが拒否されました" イベントを追跡するためにポリシーを有効にすると、

注

ファイルまたはフォルダー SACL とグローバル オブジェクト アクセス監査ポリシー設定 (または 1 つのレジストリ設定 SACL とグローバル オブジェクト アクセス監査ポリシー設定) がコンピューターで構成されている場合、有効な SACL は、ファイルまたはフォルダー SACL とグローバル オブジェクト アクセス監査ポリシーの組み合わせから派生します。 つまり、アクティビティがファイルまたはフォルダー SACL またはグローバル オブジェクト アクセス監査ポリシーと一致する場合、監査イベントが生成されます。

このカテゴリには、次のサブカテゴリが含まれています。

• ファイル システム (グローバル オブジェクト アクセスの監査)
• レジストリ (グローバル オブジェクト アクセスの監査)

関連トピック

• 基本のセキュリティ監査ポリシーの設定