- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-02-12T17:52:56+09:00","","")
[[・レベル1セキュリティ構成(Windows 10)]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー] [#u65e9440]
**アカウントログオン [#x7ecec02]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|このポリシー設定を使用すると、ユーザー アカウント ログオン資格情報に対する検証テストによって生成されたイベントを監査できます。&br;このサブカテゴリのイベントは、その資格情報に対する権限を持つコンピューター上でのみ発生します。ドメイン アカウントの場合は、ドメイン コントローラーが権限を持ちます。ローカル アカウントの場合は、ローカル コンピューターが権限を持ちます。&br;ボリューム: ドメイン コントローラーでは "高"。&br;クライアント エディションの既定値: 監査なし&br;サーバー エディションの既定値: 成功|
**アカウント管理 [#m845f650]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|コンピューター アカウントの管理|成功|このポリシー設定を使用すると、コンピューター アカウントの作成、変更、または削除など、コンピューター アカウントの変更によって生成されるイベントを監査できます。&br;このポリシー設定を構成すると、コンピューター アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、コンピューター アカウントが変更された場合に、監査イベントは生成されません。&br;ボリューム: 低&br;クライアント エディションの既定値: 監査なし&br;サーバー エディションの既定値: 成功|
|その他のアカウント管理イベント|成功|このポリシー設定を使用すると、次のような、このカテゴリに含まれないその他のユーザー アカウントの変更によって生成されるイベントを監査できます。&br;ユーザー アカウントのパスワード ハッシュへのアクセス。これは通常、Active Directory 管理ツールのパスワードの移行中に発生します。&br;パスワード ポリシー確認 API の呼び出し。この関数の呼び出しは、悪意のあるアプリケーションが、パスワード辞書攻撃中の操作数を削減するためにポリシーをテストする場合に、攻撃の一環として実行される可能性があります。 以下のグループ ポリシー パスの既定のドメイン グループ ポリシーの変更:&br;コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\パスワードのポリシー&br;コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\アカウント ロックアウトのポリシー&br;''注意:'' セキュリティ監査イベントは、ポリシー設定が適用された時点で記録されます。設定が変更された時点では、発生しません。&br;ボリューム: 低&br;既定値: 監査なし|
|セキュリティ グループの管理の監査|成功|セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。|
|ユーザー アカウントの管理の監査|成功と失敗|このポリシー設定を使用すると、ユーザー アカウントの変更を監査できます。イベントは次のとおりです。&br;ユーザー アカウントの作成、変更、削除、名前の変更、無効化、有効化、ロックアウト、またはロック解除&br;ユーザー アカウントのパスワードの設定または変更&br;ユーザー アカウントの SID 履歴へのセキュリティ識別子 (SID) の追加&br;ディレクトリ サービス復元モードのパスワードの構成&br;管理者ユーザーのアクセス許可の変更&br;資格情報マネージャーの資格情報のバックアップまたは復元&br;このポリシー設定を構成すると、ユーザー アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。このポリシー設定を構成しないと、ユーザー アカウントが変更された場合に、監査イベントは生成されません。&br;ボリューム: 低&br;既定値: 成功|
**詳細追跡 [#u0a76c3c]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|PNP アクティビティの監査|成功|プラグアンドプレイが外部デバイスを検出したときに監査する|
|プロセス作成の監査|成功|プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます|
**ログオン/ログオフ [#m7d96188]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|アカウントロックアウトの監査|失敗|ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント|
|グループメンバーシップの監査|成功|ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。|
|ログオンの監査|成功と失敗|コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント|
|その他のログオン/ログオフ イベントの監査|成功と失敗|ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス|
|特殊なログオンの監査|成功|管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます)|
**オブジェクトアクセス [#j3ccb638]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|詳細なファイル共有の監査|失敗|共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します|
|ファイル共有の監査|成功と失敗|共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。|
|その他のオブジェクト アクセス イベントの監査|成功と失敗|タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント|
|リムーバブル記憶域の監査|成功と失敗|監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。|
**ポリシー変更 [#fb38812d]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|監査ポリシーの変更の監査|成功|セキュリティ監査ポリシー設定の変更を監査する|
|認証ポリシーの変更の監査|成功|認証ポリシーの変更によって生成された監査イベント|
|MPSSVCルールレベル ポリシー変更の監査|成功と失敗|Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。|
|その他のポリシー変更イベントの監査|失敗|トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更|
**特権の使用 [#ebd5d254]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|[[・重要な特権の使用の監査]]|成功と失敗|機密特権(ユーザー権利)が使用されたときに生成される監査イベント。オペレーティング システムの一部として機能。|
**システム [#wc159065]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|その他のシステムイベントの監査|成功と失敗|次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。|
|セキュリティ状態の変更の監査|成功|コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。|
|セキュリティシステムの拡張の監査|成功|セキュリティシステムの拡張機能またはサービスに関連する監査イベント|
|システムの整合性の監査|成功と失敗|セキュリティサブシステムの整合性に違反する監査イベント|
