Windows Group Policy Level 1設定?
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー] †
アカウントログオン †
| ポリシー設定 | ポリシー値 | 説明 |
| 資格証明の検証の監査 | 成功と失敗 | ユーザーアカウントのログオン資格情報の検証テストによって生成された監査イベント。これらの資格情報に対して権限のあるコンピューターでのみ発生します。 |
アカウント管理 †
| ポリシー設定 | ポリシー値 | 説明 |
| セキュリティグループ管理の監査 | 成功 | セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。 |
| ユーザーアカウント管理の監査 | 成功と失敗 | ユーザーアカウントへの変更を監査します。イベントには、ユーザーアカウントの作成、変更、削除が含まれます。アカウントの名前変更、無効化、有効化、ロックアウト、またはロック解除。ユーザーアカウントのパスワードの設定または変更。ユーザーアカウントのSID履歴にセキュリティ識別子(SID)を追加します。ディレクトリサービス復元モードのパスワードの構成。管理ユーザーアカウントのアクセス許可の変更。Credential Manager資格情報のバックアップまたは復元 |
詳細追跡 †
| ポリシー設定 | ポリシー値 | 説明 |
| PNPアクティビティの監査 | 成功 | プラグアンドプレイが外部デバイスを検出したときに監査する |
| 監査プロセスの作成 | 成功 | プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます |
ログオン/ログオフ †
| ポリシー設定 | ポリシー値 | 説明 |
| アカウントロックアウトの監査 | 失敗 | ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント |
| グループメンバーシップの監査 | 成功 | ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 |
| 監査ログオン | 成功と失敗 | コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント |
| 他のログオン/ログオフイベントの監査 | 成功と失敗 | ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス |
| 特別なログオンの監査 | 成功 | 管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます) |
オブジェクトアクセス †
| ポリシー設定 | ポリシー値 | 説明 |
| 詳細なファイル共有の監査 | 失敗 | 共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します |
| 監査ファイル共有 | 成功と失敗 | 共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。 |
| 他のオブジェクトアクセスイベントの監査 | 成功と失敗 | タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント |
| リムーバブルストレージの監査 | 成功と失敗 | 監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。 |
ポリシー変更 †
| ポリシー設定 | ポリシー値 | 説明 |
| 監査監査ポリシーの変更 | 成功 | セキュリティ監査ポリシー設定の変更を監査する |
| 認証ポリシーの変更の監査 | 成功 | 認証ポリシーの変更によって生成された監査イベント |
| MPSSVCルールレベルポリシー変更の監査 | 成功と失敗 | Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。 |
| 他のポリシー変更イベントの監査 | 失敗 | トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更 |
特権の使用 †
| ポリシー設定 | ポリシー値 | 説明 |
| 機密特権の使用の監査 | 成功と失敗 | 機密特権(ユーザー権利)が使用されたときに生成される監査イベント |
システム †
| ポリシー設定 | ポリシー値 | 説明 |
| 他のシステムイベントの監査 | 成功と失敗 | 次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。 |
| セキュリティ状態の変更の監査 | 成功 | コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。 |
| 監査セキュリティシステム拡張 | 成功 | セキュリティシステムの拡張機能またはサービスに関連する監査イベント |
| 監査システムの整合性 | 成功と失敗 | セキュリティサブシステムの整合性に違反する監査イベント |
