Reading Time: 1 minutes
【目次】 連載:ADについて学ぼう
今回はActive Directoryの設定の中で最も基本的かつ重要な設定である「監査ポリシー」についてご紹介します。
標的型攻撃といった高度な攻撃手法が横行する現代において、攻撃の兆候をいち早く察知し、攻撃を阻止することが求められています。そのための手段の一つとして、Windowsに標準搭載されているイベントビューアーの確認が挙げられます。
イベントビューアーはコントロールパネルの「管理ツール」から、あるいはコマンドプロンプトから”eventvwr“と実行して起動しますこのイベントビューアーに残されているログの中でも「セキュリティログ」と呼ばれるログをこまめに確認することが大切になります。
セキュリティログにはユーザーのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があるのです。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。)
そしてどのログを記録するのかを決定するのが、今回ご紹介する「監査ポリシー」なのです!
監査ポリシーを確認、設定する方法
監査ポリシーを設定するには、グループポリシー管理エディターを開き設定を行いたいGPOを右クリックして「編集」を実行後、以下のように移動してください。
「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「ローカル ポリシー」-「監査ポリシー」
※グループポリシー管理エディターを開くにはコマンドプロンプトから以下のコマンドを実行してください。
≪ドメインコントローラーの場合≫ gpmc.msc ≪メンバーサーバーの場合≫ gpedit.msc
監査ポリシーには以下の9つの項目があります:
例えばログオンイベントに関するログを記録したい場合、「アカウント ログオン イベントの監査」をクリック後[これらのポリシーの設定を定義する]チェックボックスを選択して、[成功]と[失敗]にチェックを入れます。
そうすることで、アカウントのログオンの成功/失敗時に監査エントリが生成されます。
またWindows Server 2008以降からは、より細かい設定が可能な「監査ポリシーの詳細な構成」が設定可能です。監査ポリシーの詳細な構成を開くには、GPOを右クリックして「編集」を実行後、以下のように移動してください。
「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「監査ポリシーの詳細な構成」-「監査ポリシー」
詳細な構成の監査ポリシーには以下の10つの項目があります:
各ポリシーの内容については、ポリシー名をダブルクリック後、「説明」タブに移動することで詳細な説明文を表示することが可能です。
そして監査ポリシーを設定後は、コマンドプロンプトから以下のコマンドを実行することで全てのコンピューターに対して即座にグループポリシーの更新を行うことが可能です。
gpupdate /force
また現在設定されている監査ポリシーの一覧を表示するには、コマンドプロンプトから以下のコマンドを実行します。
auditpol /get /category:*
以上が監査ポリシーの説明、および設定方法のご紹介になります。設定後、イベントビューアーでは以下のような画面でログの一覧を確認することができます。
監査ポリシー設定後によくある課題「集計地獄」
注釈でも書きましたが、すべてのログを記録するように設定することで膨大な情報を入手することができます。しかし、それだけ膨大な情報をイベントビューアーと向き合いながら人の手で管理することは、実質不可能に近いというのが現実です。
具体的には、例えば以下のような問題があります。
地獄その一:該当ログの抽出が大変
イベントビューアーでは、実質の監査とは関係のないログや様々なユーザーやシステムアカウントによって発生したイベントログも表示されます。特にドメインコントローラーやWindowsファイルサーバーなどのサーバー機器から出力されるログ量はとても膨大な数となる傾向があり、ログの中から調査に必要なログだけを目検で抽出するのは骨の折れる作業です。また、インシデント調査の際などで、時系列ベースで複数のサーバーのログを確認する作業が発生した場合は、それぞれのサーバーのイベントビューアーに対して、調査を行なう必要があり、こちらも手作業ではとても大変な作業となります。
地獄その二:フィルター機能が不十分
イベントビューアーにはログをフィルターする機能がついています。しかし、フィルターの操作性は十分とは言えず、ユーザー名やイベントIDなどによる絞り込みや特定の日時におけるログデータの絞り込みをすることが難しという問題があります。現場ではスピーディーな対応が求められるため、イベントビューアーは調査の効率化を図れる適切なツールとは言えません。
地獄その三:ログのローテーションが行われる
イベントログはサーバーに蓄積されます。サーバーには、ログの保存やローテションを行なう機能はありますが、長期的な保存には適していません。理由は、サーバーでログの長期保管を実施すると、サーバー内のディスクスペースの不足やサーバー負荷などのデメリットがあるためです。現代では、日頃からの運用として、ログなどの証跡データは、別サーバーに集約的に保管することが推奨されています。そうすることのメリットは次の2点です。
- ログ専用サーバーへ保管をすることで、データの長期保管を実現
- 複数のサーバー/機器のログデータを一元的に管理
これらの理由から、多くの管理者が監査ログの調査をこれらの問題を解決できる有償ツールで実施しています。
監査ログを簡単に可視化できるツール
ManageEngineが提供するActive Directory監査ログ分析ツール「ADAudit Plus」もそのひとつです。生ログを意識することなく管理できるため誰でも簡単に調査を行うことができ、前述の3つの地獄からも開放されます。
無料で使えます[機能制限なし]
最大の特長は、200種類以上の定義済みレポートです。左のメニューから選択するだけで、監査に必要な情報を機器ごとに時系列で確認することができ、よりスムーズに調査を簡単に進めることができます。
セキュリティログを記録・保存しているけど細かく確認するところまではなかなか難しい・・という方は是非一度チェックしてみてください。
<< 基礎編(8) グループアカウントの種類と運用方法
>> 導入編(1) Active Directoryのユーザーアカウント作成とは?
関連ホワイトペーパーのご紹介
Active Directory 特権アクセスに対するセキュリティ対策ソリューション
Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。
▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。