トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・DC 監査ポリシーの詳細な構成 のバックアップ(No.3)


・Windows Server 2016 Domain Controller

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]



[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[アカウントログオン]

ポリシー設定ポリシー値説明
資格情報の確認の監査成功、失敗このポリシー設定を使用すると、ユーザー アカウント ログオン資格情報に対する検証テストによって生成されたイベントを監査できます。
このサブカテゴリのイベントは、その資格情報に対する権限を持つコンピューター上でのみ発生します。ドメイン アカウントの場合は、ドメイン コントローラーが権限を持ちます。ローカル アカウントの場合は、ローカル コンピューターが権限を持ちます。
ボリューム: ドメイン コントローラーでは '高'。
クライアント エディションの既定値: 監査なし
サーバー エディションの既定値: 成功


[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[アカウント管理]

ポリシー設定ポリシー値説明
コンピューター アカウントの管理成功このポリシー設定を使用すると、コンピューター アカウントの作成、変更、または削除など、コンピューター アカウントの変更によって生成されるイベントを監査できます。
このポリシー設定を構成すると、コンピューター アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、コンピューター アカウントが変更された場合に、監査イベントは生成されません。
ボリューム: 低
クライアント エディションの既定値: 監査なし
サーバー エディションの既定値: 成功
その他のアカウント管理イベント成功このポリシー設定を使用すると、次のような、このカテゴリに含まれないその他のユーザー アカウントの変更によって生成されるイベントを監査できます。
ユーザー アカウントのパスワード ハッシュへのアクセス。これは通常、Active Directory 管理ツールのパスワードの移行中に発生します。
パスワード ポリシー確認 API の呼び出し。この関数の呼び出しは、悪意のあるアプリケーションが、パスワード辞書攻撃中の操作数を削減するためにポリシーをテストする場合に、攻撃の一環として実行される可能性があります。
セキュリティ グループの管理の監査成功セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。
ユーザー アカウントの管理の監査成功と失敗このポリシー設定を使用すると、ユーザー アカウントの変更を監査できます。イベントは次のとおりです。
ユーザー アカウントの作成、変更、削除、名前の変更、無効化、有効、ロックアウト、またはロック解除
ユーザー アカウントのパスワードの設定または変更
ユーザー アカウントの SID 履歴へのセキュリティ識別子 (SID) の追加
ディレクトリ サービス復元モードのパスワードの構成
管理者ユーザーのアクセス許可の変更
資格情報マネージャーの資格情報のバックアップまたは復元
このポリシー設定を構成すると、ユーザー アカウントの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。このポリシー設定を構成しないと、ユーザー アカウントが変更された場合に、監査イベントは生成されません。
ボリューム: 低
既定値: 成功


[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[詳細追跡]

ポリシー設定ポリシー値説明
PNP アクティビティの監査成功このポリシー設定を使用すると、プラグ アンド プレイが外部デバイスを検出したときに監査できます。
このポリシー設定を構成すると、プラグ アンド プレイが外部デバイスを検出するたびに監査イベントが生成されます。成功した監査だけが、このカテゴリに記録されます。
このポリシー設定を構成しないと、プラグ アンド プレイによって外部デバイスが検出されても監査イベントは生成されません。
ボリューム: 低
プロセス作成の監査成功このポリシー設定を使用すると、プロセスの作成または開始時に生成されるイベントを監査できます。そのプロセスを作成したアプリケーションまたはユーザーの名前も監査されます。このポリシー設定を構成すると、プロセスの作成時に監査イベントが生成されます。成功の監査では成功したプロセス作成が、失敗の監査では成功しなかったプロセス作成が記録されます。
このポリシー設定を構成しないと、プロセスの作成時に監査イベントは生成されません。
ボリューム: コンピューターの使用状態に依存。


[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[オブジェクトアクセス]

ポリシー設定ポリシー値説明
その他のオブジェクト アクセス イベントの監査成功、失敗このポリシー設定を使用すると、タスク スケジューラ ジョブまたは COM+ オブジェクトの管理により生成されるイベントを監査できます。
スケジューラ ジョブの場合の監査対象:
ジョブの作成
ジョブの削除
ジョブの有効
ジョブの無効化
ジョブの更新
COM+ オブジェクトの場合の監査対象:
カタログ オブジェクトの追加
カタログ オブジェクトの更新
カタログ オブジェクトの削除
ボリューム: 低
リムーバブル記憶域の監査成功、失敗このポリシー設定を使用すると、ユーザーによるリムーバブル記憶域デバイス上のファイル システム オブジェクトへのアクセス試行を監査できます。セキュリティ監査イベントは、要求されたすべての種類のアクセスのすべてのオブジェクトに対してのみ生成されます。
このポリシー設定を構成すると、アカウントがリムーバブル記憶域上のファイル システム オブジェクトにアクセスするたびに監査イベントが生成されます。成功の監査では成功したアクセス試行が、失敗の監査では成功しなかったアクセス試行が記録されます。
このポリシー設定を構成しないと、アカウントがリムーバブル記憶域上のファイル システム オブジェクトにアクセスした場合に監査イベントは生成されません。


[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[ポリシー変更]

ポリシー設定ポリシー値説明
監査ポリシーの変更成功、失敗このポリシー設定を使用すると、次のようなセキュリティ監査ポリシー設定の変更を監査できます。
監査ポリシー オブジェクトのアクセス許可設定および監査設定
システム監査ポリシーの変更
セキュリティ イベント ソースの登録
セキュリティ イベント ソースの登録解除
ユーザーごとの監査設定の変更
CrashOnAuditFail の値の変更
ファイル システムまたはレジストリ オブジェクトのシステム アクセス制御リストの変更
特殊グループの一覧の変更
注意: システム アクセス制御リスト (SACL) の変更の監査は、オブジェクトの SACL が変更され、このポリシー変更のカテゴリが有効にされている場合に実行されます。随意アクセス制御リスト (DACL) および所有権の変更は、オブジェクト アクセスの監査が有効にされていて、DACL/所有者の変更を監査するようにオブジェクトの SACL が構成されている場合に、監査されます。
このポリシー設定を構成すると、リモート RPC 接続が操作された場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、リモート RPC 接続が操作された場合に、監査イベントは生成されません。
ボリューム: 低
既定値: 成功
認証ポリシーの変更成功このポリシー設定を使用すると、次のような認証ポリシーの変更によって生成されるイベントを監査できます。
フォレスト間およびドメイン間の信頼の作成
フォレスト間およびドメイン間の信頼の変更
フォレスト間およびドメイン間の信頼の削除
コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\Kerberos ポリシー以下の Kerberos ポリシーの変更
ユーザーまたはグループへの次のユーザー権利の付与:
ネットワーク経由でコンピューターへアクセス
ローカル ログオンを許可する
ターミナル サービスを使ったログオンを許可する
バッチ ジョブとしてログオン
サービスとしてログオン
名前空間の競合。たとえば、新しい信頼に既存の名前空間名と同じ名前が付けられた場合です。
このポリシー設定を構成すると、認証ポリシーの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、認証ポリシーが変更された場合に、監査イベントは生成されません。
注意: セキュリティ監査イベントは、グループ ポリシーが適用された時点で記録されます。設定が変更された時点では、発生しません。
ボリューム: 低
既定値: 成功
承認ポリシーの変更成功このポリシー設定を使用すると、次のような承認ポリシーの変更によって生成されるイベントを監査できます。
'認証ポリシーの変更' サブカテゴリによって監査されない SeCreateTokenPrivilege などのユーザー権利 (特権) の割り当て
'認証ポリシーの変更' サブカテゴリによって監査されない SeCreateTokenPrivilege などのユーザー権利 (特権) の削除
暗号化されたファイル システム (EFS) のポリシーの変更
オブジェクトのリソース属性に対する変更
オブジェクトに適用された集約型アクセス ポリシー (CAP) に対する変更
このポリシー設定を構成すると、承認ポリシーの変更操作が試みられた場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、承認ポリシーが変更された場合に、監査イベントは生成されません。
ボリューム: 低
既定値: 監査なし


[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[特権の使用]

ポリシー設定ポリシー値説明
重要な特権の使用の監査成功、失敗このポリシー設定を使用すると、次のような重要な特権 (ユーザー権利) の使用時に生成されるイベントを監査できます。
特権サービスの呼び出し
次の特権のいずれかの呼び出し:
オペレーティング システムの一部として機能
ファイルとディレクトリのバックアップ
トークン オブジェクトの作成
プログラムのデバッグ
コンピューターとユーザー アカウントに委任時の信頼を付与
セキュリティ監査の生成
認証後にクライアントを偽装
デバイス ドライバーのロードとアンロード
監査とセキュリティ ログの管理
ファームウェアの環境値の修正
プロセス レベル トークンの置き換え
ファイルとディレクトリの復元
ファイルとその他のオブジェクトの所有権の取得
このポリシー設定を構成すると、重要な特権が要求された場合に監査イベントが生成されます。成功の監査では成功した要求が、失敗の監査では成功しなかった要求が記録されます。
このポリシー設定を構成しないと、重要な特権が要求された場合に、監査イベントは生成されません。
ボリューム: 高


[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]>[システム]

ポリシー設定ポリシー値説明
IPsec ドライバーの監査成功、失敗このポリシー設定を使用すると、次のような IPsec フィルター ドライバーによって生成されるイベントを監査できます。
IPsec サービスの開始とシャットダウン
整合性チェックの不合格が原因のネットワーク パケットの破棄
リプレイ チェックの不合格が原因のネットワーク パケットの破棄
プレーンテキストであることが原因のネットワーク パケットの破棄
セキュリティ パラメーター インデックス (SPI) が正しくないネットワーク パケットの受信。ネットワーク カードが正しく動作していないか、ドライバーを更新する必要がある可能性があります。
IPsec フィルターの処理不能
このポリシー設定を構成すると、IPsec フィルター ドライバーの操作が発生した場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、IPsec フィルター ドライバーの操作が発生した場合に、監査イベントは生成されません。
ボリューム: 低
既定値: 監査なし
その他のシステム イベントの監査成功、失敗このポリシー設定を使用すると、次のようなイベントを監査できます。
Windows ファイアウォール サービスおよびドライバーの開始とシャットダウン
Windows ファイアウォール サービスによるセキュリティ ポリシーの処理
暗号化キー ファイルおよび移行操作
ボリューム: 低
既定値: 成功、失敗
セキュリティ状態の変更成功このポリシー設定を使用すると、次のイベントようなコンピューターのセキュリティ状態の変更によって生成されるイベントを監査できます。
コンピューターの起動およびシャットダウン
システム時刻の変更
CrashOnAuditFail からのシステムの回復。これは、セキュリティ イベント ログがいっぱいで、CrashOnAuditFail レジストリ エントリが構成されている場合に、システムの再起動後に記録されます。
ボリューム: 低
既定値: 成功
セキュリティ システムの拡張成功このポリシー設定を使用すると、次のようなセキュリティ システムの拡張またはサービス関連のイベントを監査できます。
セキュリティ システムの拡張。認証、通知、またはセキュリティ パッケージが読み込まれ、ローカル セキュリティ機関 (LSA) に登録された場合など。これは、ログオンの認証、ログオン要求の送信、アカウントやパスワードの変更に使用されます。セキュリティ システムの拡張の例としては、Kerberos や NTLM が挙げられます。
サービスのインストールおよびサービス コントロール マネージャーへの登録。監査ログには、サービスの名前、バイナリ、種類、開始の種類、およびサービス アカウントが含まれます。
このポリシー設定を構成すると、セキュリティ システムの拡張を読み込む操作が実行された場合に監査イベントが生成されます。成功の監査では成功した操作が、失敗の監査では成功しなかった操作が記録されます。
このポリシー設定を構成しないと、セキュリティ システムの拡張を読み込む操作が実行された場合に、監査イベントは生成されません。
ボリューム: 低。セキュリティ システムの拡張関連のイベントは、クライアント コンピューターやメンバー サーバーよりもドメイン コントローラー上で、より頻繁に生成されます。
既定値: 監査なし
システムの整合性成功、失敗このポリシー設定を使用すると、次のようなセキュリティ サブシステムの整合性に違反するイベントを監査できます。

監査システムの問題のために、イベント ログへの書き込みができなかったイベント
クライアント アドレス空間へのまたはクライアント アドレス空間からの応答、読み取り、または書き込みによるクライアントの偽装の操作において無効なローカル プロシージャ コール (LPC) ポートを使用するプロセス
システムの整合性を損なうリモート プロシージャ コール (RPC) の検出
コードの整合性により無効とされた実行可能ファイルのハッシュ値の検出
システムの整合性を損なう暗号化操作
ボリューム: 低
既定値: 成功、失敗