・レベル1セキュリティ構成(Windows 10)
・Windows Server 2016 Domain Controller
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー] †
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[アカウントログオン] †
ポリシー設定 | 値 | 説明 |
資格情報の確認の監査 | 成功と失敗 | ユーザーアカウントのログオン資格情報の検証テストによって生成された監査イベント。これらの資格情報に対して権限のあるコンピューターでのみ発生します。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[アカウント管理] †
ポリシー設定 | 値 | 説明 |
セキュリティ グループの管理の監査 | 成功 | セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。 |
ユーザー アカウントの管理の監査 | 成功と失敗 | ユーザーアカウントへの変更を監査します。イベントには、ユーザーアカウントの作成、変更、削除が含まれます。アカウントの名前変更、無効化、有効、ロックアウト、またはロック解除。ユーザーアカウントのパスワードの設定または変更。ユーザーアカウントのSID履歴にセキュリティ識別子(SID)を追加します。ディレクトリサービス復元モードのパスワードの構成。管理ユーザーアカウントのアクセス許可の変更。Credential Manager資格情報のバックアップまたは復元。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡] †
ポリシー設定 | 値 | 説明 |
PNP アクティビティの監査 | 成功 | プラグアンドプレイが外部デバイスを検出したときに監査する |
プロセス作成の監査 | 成功 | プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[ログオン/ログオフ] †
ポリシー設定 | 値 | 説明 |
アカウントロックアウトの監査 | 失敗 | ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント |
グループメンバーシップの監査 | 成功 | ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 |
ログオンの監査 | 成功と失敗 | コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント |
その他のログオン/ログオフ イベントの監査 | 成功と失敗 | ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス |
特殊なログオンの監査 | 成功 | 管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます) |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス] †
ポリシー設定 | 値 | 説明 |
詳細なファイル共有の監査 | 失敗 | 共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します |
ファイル共有の監査 | 成功と失敗 | 共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。 |
その他のオブジェクト アクセス イベントの監査 | 成功と失敗 | タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント |
リムーバブル記憶域の監査 | 成功と失敗 | 監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[ポリシーの変更] †
ポリシー設定 | 値 | 説明 |
監査ポリシーの変更の監査 | 成功 | セキュリティ監査ポリシー設定の変更を監査する |
認証ポリシーの変更の監査 | 成功 | 認証ポリシーの変更によって生成された監査イベント |
MPSSVCルールレベル ポリシー変更の監査 | 成功と失敗 | Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。 |
その他のポリシー変更イベントの監査 | 失敗 | トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[特権の使用] †
ポリシー設定 | 値 | 説明 |
重要な特権の使用の監査 | 成功と失敗 | 機密特権(ユーザー権利)が使用されたときに生成される監査イベント。オペレーティング システムの一部として機能。 |
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[システム] †
ポリシー設定 | 値 | 説明 |
その他のシステムイベントの監査 | 成功と失敗 | 次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。 |
セキュリティ状態の変更の監査 | 成功 | コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。 |
セキュリティシステムの拡張の監査 | 成功 | セキュリティシステムの拡張機能またはサービスに関連する監査イベント |
システムの整合性の監査 | 成功と失敗 | セキュリティサブシステムの整合性に違反する監査イベント |
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。