トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・DC 監査ポリシーの詳細な構成 のバックアップ(No.1)

・レベル1セキュリティ構成(Windows 10)

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]

アカウントログオン

ポリシー設定ポリシー値説明
このポリシー設定を使用すると、ユーザー アカウント ログオン資格情報に対する検証テストによって生成されたイベントを監査できます。
このサブカテゴリのイベントは、その資格情報に対する権限を持つコンピューター上でのみ発生します。ドメイン アカウントの場合は、ドメイン コントローラーが権限を持ちます。ローカル アカウントの場合は、ローカル コンピューターが権限を持ちます。
ボリューム: ドメイン コントローラーでは "高"。
クライアント エディションの既定値: 監査なし
サーバー エディションの既定値: 成功

アカウント管理

ポリシー設定ポリシー値説明
コンピューター アカウントの管理成功このポリシー設定を使用すると、コンピューター アカウントの作成、変更、または削除など、コンピューター アカウントの変更によって生成されるイベントを監査できます。
このポリシー設定を構成すると、コンピューター アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、コンピューター アカウントが変更された場合に、監査イベントは生成されません。
ボリューム: 低
クライアント エディションの既定値: 監査なし
サーバー エディションの既定値: 成功
その他のアカウント管理イベント成功このポリシー設定を使用すると、次のような、このカテゴリに含まれないその他のユーザー アカウントの変更によって生成されるイベントを監査できます。
ユーザー アカウントのパスワード ハッシュへのアクセス。これは通常、Active Directory 管理ツールのパスワードの移行中に発生します。
パスワード ポリシー確認 API の呼び出し。この関数の呼び出しは、悪意のあるアプリケーションが、パスワード辞書攻撃中の操作数を削減するためにポリシーをテストする場合に、攻撃の一環として実行される可能性があります。 以下のグループ ポリシー パスの既定のドメイン グループ ポリシーの変更:
コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\パスワードのポリシー
コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\アカウント ロックアウトのポリシー
注意: セキュリティ監査イベントは、ポリシー設定が適用された時点で記録されます。設定が変更された時点では、発生しません。
ボリューム: 低
既定値: 監査なし
セキュリティ グループの管理の監査成功セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。
ユーザー アカウントの管理の監査成功と失敗このポリシー設定を使用すると、ユーザー アカウントの変更を監査できます。イベントは次のとおりです。
ユーザー アカウントの作成、変更、削除、名前の変更、無効化、有効化、ロックアウト、またはロック解除
ユーザー アカウントのパスワードの設定または変更
ユーザー アカウントの SID 履歴へのセキュリティ識別子 (SID) の追加
ディレクトリ サービス復元モードのパスワードの構成
管理者ユーザーのアクセス許可の変更
資格情報マネージャーの資格情報のバックアップまたは復元
このポリシー設定を構成すると、ユーザー アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。このポリシー設定を構成しないと、ユーザー アカウントが変更された場合に、監査イベントは生成されません。
ボリューム: 低
既定値: 成功

詳細追跡

ポリシー設定ポリシー値説明
PNP アクティビティの監査成功プラグアンドプレイが外部デバイスを検出したときに監査する
プロセス作成の監査成功プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます

ログオン/ログオフ

ポリシー設定ポリシー値説明
アカウントロックアウトの監査失敗ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント
グループメンバーシップの監査成功ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。
ログオンの監査成功と失敗コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント
その他のログオン/ログオフ イベントの監査成功と失敗ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス
特殊なログオンの監査成功管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます)

オブジェクトアクセス

ポリシー設定ポリシー値説明
詳細なファイル共有の監査失敗共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します
ファイル共有の監査成功と失敗共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。
その他のオブジェクト アクセス イベントの監査成功と失敗タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント
リムーバブル記憶域の監査成功と失敗監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。

ポリシー変更

ポリシー設定ポリシー値説明
監査ポリシーの変更の監査成功セキュリティ監査ポリシー設定の変更を監査する
認証ポリシーの変更の監査成功認証ポリシーの変更によって生成された監査イベント
MPSSVCルールレベル ポリシー変更の監査成功と失敗Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。
その他のポリシー変更イベントの監査失敗トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更

特権の使用

ポリシー設定ポリシー値説明
・重要な特権の使用の監査成功と失敗機密特権(ユーザー権利)が使用されたときに生成される監査イベント。オペレーティング システムの一部として機能。

システム

ポリシー設定ポリシー値説明
その他のシステムイベントの監査成功と失敗次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。
セキュリティ状態の変更の監査成功コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。
セキュリティシステムの拡張の監査成功セキュリティシステムの拡張機能またはサービスに関連する監査イベント
システムの整合性の監査成功と失敗セキュリティサブシステムの整合性に違反する監査イベント