- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-02-12T17:52:56+09:00","","")
[[・レベル1セキュリティ構成(Windows 10)]]
#author("2020-02-13T13:57:24+09:00","","")
[[・Windows Server 2016 Domain Controller]]
*[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー] [#u65e9440]
**アカウントログオン [#x7ecec02]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|このポリシー設定を使用すると、ユーザー アカウント ログオン資格情報に対する検証テストによって生成されたイベントを監査できます。&br;このサブカテゴリのイベントは、その資格情報に対する権限を持つコンピューター上でのみ発生します。ドメイン アカウントの場合は、ドメイン コントローラーが権限を持ちます。ローカル アカウントの場合は、ローカル コンピューターが権限を持ちます。&br;ボリューム: ドメイン コントローラーでは "高"。&br;クライアント エディションの既定値: 監査なし&br;サーバー エディションの既定値: 成功|
|資格情報の確認の監査|成功、失敗|このポリシー設定を使用すると、ユーザー アカウント ログオン資格情報に対する検証テストによって生成されたイベントを監査できます。&br;このサブカテゴリのイベントは、その資格情報に対する権限を持つコンピューター上でのみ発生します。ドメイン アカウントの場合は、ドメイン コントローラーが権限を持ちます。ローカル アカウントの場合は、ローカル コンピューターが権限を持ちます。&br;ボリューム: ドメイン コントローラーでは "高"。&br;クライアント エディションの既定値: 監査なし&br;サーバー エディションの既定値: 成功|
**アカウント管理 [#m845f650]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|コンピューター アカウントの管理|成功|このポリシー設定を使用すると、コンピューター アカウントの作成、変更、または削除など、コンピューター アカウントの変更によって生成されるイベントを監査できます。&br;このポリシー設定を構成すると、コンピューター アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、コンピューター アカウントが変更された場合に、監査イベントは生成されません。&br;ボリューム: 低&br;クライアント エディションの既定値: 監査なし&br;サーバー エディションの既定値: 成功|
|その他のアカウント管理イベント|成功|このポリシー設定を使用すると、次のような、このカテゴリに含まれないその他のユーザー アカウントの変更によって生成されるイベントを監査できます。&br;ユーザー アカウントのパスワード ハッシュへのアクセス。これは通常、Active Directory 管理ツールのパスワードの移行中に発生します。&br;パスワード ポリシー確認 API の呼び出し。この関数の呼び出しは、悪意のあるアプリケーションが、パスワード辞書攻撃中の操作数を削減するためにポリシーをテストする場合に、攻撃の一環として実行される可能性があります。 以下のグループ ポリシー パスの既定のドメイン グループ ポリシーの変更:&br;コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\パスワードのポリシー&br;コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\アカウント ロックアウトのポリシー&br;''注意:'' セキュリティ監査イベントは、ポリシー設定が適用された時点で記録されます。設定が変更された時点では、発生しません。&br;ボリューム: 低&br;既定値: 監査なし|
|その他のアカウント管理イベント|成功|このポリシー設定を使用すると、次のような、このカテゴリに含まれないその他のユーザー アカウントの変更によって生成されるイベントを監査できます。&br;ユーザー アカウントのパスワード ハッシュへのアクセス。これは通常、Active Directory 管理ツールのパスワードの移行中に発生します。&br;パスワード ポリシー確認 API の呼び出し。この関数の呼び出しは、悪意のあるアプリケーションが、パスワード辞書攻撃中の操作数を削減するためにポリシーをテストする場合に、攻撃の一環として実行される可能性があります。|
|セキュリティ グループの管理の監査|成功|セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。|
|ユーザー アカウントの管理の監査|成功と失敗|このポリシー設定を使用すると、ユーザー アカウントの変更を監査できます。イベントは次のとおりです。&br;ユーザー アカウントの作成、変更、削除、名前の変更、無効化、有効化、ロックアウト、またはロック解除&br;ユーザー アカウントのパスワードの設定または変更&br;ユーザー アカウントの SID 履歴へのセキュリティ識別子 (SID) の追加&br;ディレクトリ サービス復元モードのパスワードの構成&br;管理者ユーザーのアクセス許可の変更&br;資格情報マネージャーの資格情報のバックアップまたは復元&br;このポリシー設定を構成すると、ユーザー アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。このポリシー設定を構成しないと、ユーザー アカウントが変更された場合に、監査イベントは生成されません。&br;ボリューム: 低&br;既定値: 成功|
**詳細追跡 [#u0a76c3c]
**詳細追跡 [#u2868709]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|PNP アクティビティの監査|成功|プラグアンドプレイが外部デバイスを検出したときに監査する|
|プロセス作成の監査|成功|プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます|
|PNP アクティビティの監査|成功|このポリシー設定を使用すると、プラグ アンド プレイが外部デバイスを検出したときに監査できます。&br;このポリシー設定を構成すると、プラグ アンド プレイが外部デバイスを検出するたびに監査イベントが生成されます。成功した監査だけが、このカテゴリに記録されます。&br;このポリシー設定を構成しないと、プラグ アンド プレイによって外部デバイスが検出されても監査イベントは生成されません。&br;ボリューム: 低|
|プロセス作成の監査|成功|このポリシー設定を使用すると、プロセスの作成または開始時に生成されるイベントを監査できます。そのプロセスを作成したアプリケーションまたはユーザーの名前も監査されます。&br;このポリシー設定を構成すると、プロセスの作成時に監査イベントが生成されます。成功の監査では成功したプロセス作成が、失敗の監査では成功しなかったプロセス作成が記録されます。&br;このポリシー設定を構成しないと、プロセスの作成時に監査イベントは生成されません。&br;ボリューム: コンピューターの使用状態に依存。|
**ログオン/ログオフ [#m7d96188]
**オブジェクトアクセス [#w94f41d3]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|アカウントロックアウトの監査|失敗|ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント|
|グループメンバーシップの監査|成功|ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。|
|ログオンの監査|成功と失敗|コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント|
|その他のログオン/ログオフ イベントの監査|成功と失敗|ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス|
|特殊なログオンの監査|成功|管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます)|
|その他のオブジェクト アクセス イベントの監査|成功、失敗|このポリシー設定を使用すると、タスク スケジューラ ジョブまたは COM+ オブジェクトの管理により生成されるイベントを監査できます。&br;スケジューラ ジョブの場合の監査対象:&br;ジョブの作成&br;ジョブの削除&br;ジョブの有効化&br;ジョブの無効化&br;ジョブの更新&br;COM+ オブジェクトの場合の監査対象:&br;カタログ オブジェクトの追加&br;カタログ オブジェクトの更新&br;カタログ オブジェクトの削除&br;ボリューム: 低|
|リムーバブル記憶域の監査|成功、失敗|このポリシー設定を使用すると、ユーザーによるリムーバブル記憶域デバイス上のファイル システム オブジェクトへのアクセス試行を監査できます。セキュリティ監査イベントは、要求されたすべての種類のアクセスのすべてのオブジェクトに対してのみ生成されます。&br;このポリシー設定を構成すると、アカウントがリムーバブル記憶域上のファイル システム オブジェクトにアクセスするたびに監査イベントが生成されます。成功の監査では成功したアクセス試行が、失敗の監査では成功しなかったアクセス試行が記録されます。&br;このポリシー設定を構成しないと、アカウントがリムーバブル記憶域上のファイル システム オブジェクトにアクセスした場合に監査イベントは生成されません。|
**オブジェクトアクセス [#j3ccb638]
**ポリシー変更 [#sce15825]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|詳細なファイル共有の監査|失敗|共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します|
|ファイル共有の監査|成功と失敗|共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。|
|その他のオブジェクト アクセス イベントの監査|成功と失敗|タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント|
|リムーバブル記憶域の監査|成功と失敗|監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。|
|監査ポリシーの変更|成功、失敗|このポリシー設定を使用すると、次のようなセキュリティ監査ポリシー設定の変更を監査できます。&br;監査ポリシー オブジェクトのアクセス許可設定および監査設定&br;システム監査ポリシーの変更&br;セキュリティ イベント ソースの登録&br;セキュリティ イベント ソースの登録解除&br;ユーザーごとの監査設定の変更&br;CrashOnAuditFail の値の変更&br;ファイル システムまたはレジストリ オブジェクトのシステム アクセス制御リストの変更&br;特殊グループの一覧の変更&br;''注意:'' システム アクセス制御リスト (SACL) の変更の監査は、オブジェクトの SACL が変更され、このポリシー変更のカテゴリが有効にされている場合に実行されます。随意アクセス制御リスト (DACL) および所有権の変更は、オブジェクト アクセスの監査が有効にされていて、DACL/所有者の変更を監査するようにオブジェクトの SACL が構成されている場合に、監査されます。&br;このポリシー設定を構成すると、リモート RPC 接続が操作された場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、リモート RPC 接続が操作された場合に、監査イベントは生成されません。&br;ボリューム: 低&br;既定値: 成功|
|認証ポリシーの変更|成功|このポリシー設定を使用すると、次のような認証ポリシーの変更によって生成されるイベントを監査できます。&br;フォレスト間およびドメイン間の信頼の作成&br;フォレスト間およびドメイン間の信頼の変更&br;フォレスト間およびドメイン間の信頼の削除&br;コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\Kerberos ポリシー以下の Kerberos ポリシーの変更&br;ユーザーまたはグループへの次のユーザー権利の付与:&br;ネットワーク経由でコンピューターへアクセス&br;ローカル ログオンを許可する&br;ターミナル サービスを使ったログオンを許可する&br;バッチ ジョブとしてログオン&br;サービスとしてログオン&br;名前空間の競合。たとえば、新しい信頼に既存の名前空間名と同じ名前が付けられた場合です。&br;このポリシー設定を構成すると、認証ポリシーの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、認証ポリシーが変更された場合に、監査イベントは生成されません。&br;''注意:'' セキュリティ監査イベントは、グループ ポリシーが適用された時点で記録されます。設定が変更された時点では、発生しません。&br;ボリューム: 低&br;既定値: 成功|
|承認ポリシーの変更|成功|このポリシー設定を使用すると、次のような承認ポリシーの変更によって生成されるイベントを監査できます。&br;"認証ポリシーの変更" サブカテゴリによって監査されない SeCreateTokenPrivilege などのユーザー権利 (特権) の割り当て&br;"認証ポリシーの変更" サブカテゴリによって監査されない SeCreateTokenPrivilege などのユーザー権利 (特権) の削除&br;暗号化されたファイル システム (EFS) のポリシーの変更&br;オブジェクトのリソース属性に対する変更&br;オブジェクトに適用された集約型アクセス ポリシー (CAP) に対する変更&br;このポリシー設定を構成すると、承認ポリシーの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、承認ポリシーが変更された場合に、監査イベントは生成されません。&br;ボリューム: 低&br;既定値: 監査なし|
**ポリシー変更 [#fb38812d]
**特権の使用 [#r31fdfef]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|監査ポリシーの変更の監査|成功|セキュリティ監査ポリシー設定の変更を監査する|
|認証ポリシーの変更の監査|成功|認証ポリシーの変更によって生成された監査イベント|
|MPSSVCルールレベル ポリシー変更の監査|成功と失敗|Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。|
|その他のポリシー変更イベントの監査|失敗|トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更|
|重要な特権の使用の監査|成功、失敗|このポリシー設定を使用すると、次のような重要な特権 (ユーザー権利) の使用時に生成されるイベントを監査できます。&br;特権サービスの呼び出し&br;次の特権のいずれかの呼び出し:&br;オペレーティング システムの一部として機能&br;ファイルとディレクトリのバックアップ&br;トークン オブジェクトの作成&br;プログラムのデバッグ&br;コンピューターとユーザー アカウントに委任時の信頼を付与&br;セキュリティ監査の生成&br;認証後にクライアントを偽装&br;デバイス ドライバーのロードとアンロード&br;監査とセキュリティ ログの管理&br;ファームウェアの環境値の修正&br;プロセス レベル トークンの置き換え&br;ファイルとディレクトリの復元&br;ファイルとその他のオブジェクトの所有権の取得&br;このポリシー設定を構成すると、重要な特権が要求された場合に監査イベントが生成されます。成功の監査では成功した要求が、失敗の監査では成功しなかった要求が記録されます。&br;このポリシー設定を構成しないと、重要な特権が要求された場合に、監査イベントは生成されません。&br;ボリューム: 高|
**特権の使用 [#ebd5d254]
**システム [#xb2bd4b3]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|[[・重要な特権の使用の監査]]|成功と失敗|機密特権(ユーザー権利)が使用されたときに生成される監査イベント。オペレーティング システムの一部として機能。|
|IPsec ドライバーの監査|成功、失敗|このポリシー設定を使用すると、次のような IPsec フィルター ドライバーによって生成されるイベントを監査できます。&br;IPsec サービスの開始とシャットダウン&br;整合性チェックの不合格が原因のネットワーク パケットの破棄&br;リプレイ チェックの不合格が原因のネットワーク パケットの破棄&br;プレーンテキストであることが原因のネットワーク パケットの破棄&br;セキュリティ パラメーター インデックス (SPI) が正しくないネットワーク パケットの受信。ネットワーク カードが正しく動作していないか、ドライバーを更新する必要がある可能性があります。&br;IPsec フィルターの処理不能&br;このポリシー設定を構成すると、IPsec フィルター ドライバーの操作が発生した場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、IPsec フィルター ドライバーの操作が発生した場合に、監査イベントは生成されません。&br;ボリューム: 低&br;既定値: 監査なし|
|その他のシステム イベントの監査|成功、失敗|このポリシー設定を使用すると、次のようなイベントを監査できます。&br;Windows ファイアウォール サービスおよびドライバーの開始とシャットダウン&br;Windows ファイアウォール サービスによるセキュリティ ポリシーの処理&br;暗号化キー ファイルおよび移行操作&br;ボリューム: 低&br;既定値: 成功、失敗|
|セキュリティ状態の変更|成功|このポリシー設定を使用すると、次のイベントようなコンピューターのセキュリティ状態の変更によって生成されるイベントを監査できます。&br;コンピューターの起動およびシャットダウン&br;システム時刻の変更&br;CrashOnAuditFail からのシステムの回復。これは、セキュリティ イベント ログがいっぱいで、CrashOnAuditFail レジストリ エントリが構成されている場合に、システムの再起動後に記録されます。&br;ボリューム: 低&br;既定値: 成功|
|セキュリティ システムの拡張|成功|このポリシー設定を使用すると、次のようなセキュリティ システムの拡張またはサービス関連のイベントを監査できます。&br;セキュリティ システムの拡張。認証、通知、またはセキュリティ パッケージが読み込まれ、ローカル セキュリティ機関 (LSA) に登録された場合など。これは、ログオンの認証、ログオン要求の送信、アカウントやパスワードの変更に使用されます。セキュリティ システムの拡張の例としては、Kerberos や NTLM が挙げられます。&br;サービスのインストールおよびサービス コントロール マネージャーへの登録。監査ログには、サービスの名前、バイナリ、種類、開始の種類、およびサービス アカウントが含まれます。&br;このポリシー設定を構成すると、セキュリティ システムの拡張を読み込む操作が実行された場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。&br;このポリシー設定を構成しないと、セキュリティ システムの拡張を読み込む操作が実行された場合に、監査イベントは生成されません。&br;ボリューム: 低。セキュリティ システムの拡張関連のイベントは、クライアント コンピューターやメンバー サーバーよりもドメイン コントローラー上で、より頻繁に生成されます。&br;既定値: 監査なし|
|システムの整合性|成功、失敗|このポリシー設定を使用すると、次のようなセキュリティ サブシステムの整合性に違反するイベントを監査できます。&br;監査システムの問題のために、イベント ログへの書き込みができなかったイベント&br;クライアント アドレス空間へのまたはクライアント アドレス空間からの応答、読み取り、または書き込みによるクライアントの偽装の操作において無効なローカル プロシージャ コール (LPC) ポートを使用するプロセス&br;システムの整合性を損なうリモート プロシージャ コール (RPC) の検出&br;コードの整合性により無効とされた実行可能ファイルのハッシュ値の検出&br;システムの整合性を損なう暗号化操作&br;ボリューム: 低&br;既定値: 成功、失敗|
**システム [#wc159065]
|150|100||c
|ポリシー設定|ポリシー値|説明|h
|その他のシステムイベントの監査|成功と失敗|次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。|
|セキュリティ状態の変更の監査|成功|コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。|
|セキュリティシステムの拡張の監査|成功|セキュリティシステムの拡張機能またはサービスに関連する監査イベント|
|システムの整合性の監査|成功と失敗|セキュリティサブシステムの整合性に違反する監査イベント|
