イベント カテゴリに対する基本の監査ポリシーの作成

  • [アーティクル]

特定のイベント カテゴリの監査設定を定義することで、組織のセキュリティ ニーズに合った監査ポリシーを作成できます。 ドメインに参加しているデバイスでは、イベント カテゴリの監査設定は既定で未定義です。 ドメイン コントローラーでは、監査は既定で有効になっています。

この手順を完了するには、組み込みの Administrators グループのメンバーとしてログオンする必要があります。

ローカル コンピューターのイベント カテゴリの監査ポリシー設定を定義または変更するには

  1. ローカル セキュリティ ポリシー スナップイン (secpol.msc) を開き、[ ローカル ポリシー] をクリックします。

  2. [ 監査ポリシー] をクリックします。

  3. 結果ウィンドウで、監査ポリシー設定を変更するイベント カテゴリをダブルクリックします。

  4. 次のいずれかまたは両方を実行し、[OK] をクリック します。

    • 成功した試行を監査するには、[ 成功 ] チェック ボックスをオンにします。
    • 失敗した試行を監査するには、[ 失敗 ] チェック ボックスをオンにします。

この手順を完了するには、Domain Admins グループのメンバーとしてログオンする必要があります。

ドメインまたは組織単位のイベント カテゴリの監査ポリシー設定を定義または変更するには、メンバー サーバーまたはドメインに参加しているワークステーション上にある場合

  1. グループ ポリシー管理コンソール (GPMC) を開きます。

  2. コンソール ツリーで、編集する既定のドメイン ポリシー グループ ポリシー オブジェクト (GPO) を含むフォレストとドメイン内のグループ ポリシー オブジェクトをダブルクリックします。

  3. 既定のドメイン ポリシー GPO を右クリックし、[編集] をクリックします。

  4. GPMC で、[コンピューターの構成]、[****Windows の設定]、[セキュリティ設定] の順に移動し、[監査ポリシー] をクリックします。

  5. 結果ウィンドウで、監査ポリシー設定を変更するイベント カテゴリをダブルクリックします。

  6. このイベント カテゴリの監査ポリシー設定を初めて定義する場合は、[ これらのポリシー設定を定義 する] チェック ボックスをオンにします。

  7. 次のいずれかまたは両方を実行し、[OK] をクリック します。

    • 成功した試行を監査するには、[ 成功 ] チェック ボックスをオンにします。
    • 失敗した試行を監査するには、[ 失敗 ] チェック ボックスをオンにします。

その他の考慮事項

  • オブジェクト アクセスを監査するには、上記の手順に従って、オブジェクト アクセス イベント カテゴリの監査を有効にします。 次に、特定のオブジェクトの監査を有効にします。
  • 監査ポリシーが構成されると、イベントがセキュリティ ログに記録されます。 セキュリティ ログを開いて、これらのイベントを表示します。
  • ドメイン コントローラーの既定の監査ポリシー設定は [監査なし] です。 つまり、ドメインで監査が有効になっている場合でも、ドメイン コントローラーは監査ポリシーをローカルで継承しません。 ドメイン監査ポリシーをドメイン コントローラーに適用する場合は、このポリシー設定を変更する必要があります。