Reading Time: 1 minutes
この記事の所要時間: 約 3分

【目次】 連載:ADについて学ぼう

今回はActive Directoryの設定の中で最も基本的かつ重要な設定である「監査ポリシー」についてご紹介します。

◆ Point
・ 監査ポリシーの確認方法についてご紹介
・ 監査ポリシーごとに用意されているカテゴリについてご紹介

 

標的型攻撃といった高度な攻撃手法が横行する現代において、攻撃の兆候をいち早く察知し、攻撃を阻止することが求められています。そのための手段の一つとして、Windowsに標準搭載されているイベントビューアーの確認が挙げられます。

イベントビューアーはコントロールパネルの「管理ツール」から、あるいはコマンドプロンプトから”eventvwr“と実行して起動しますこのイベントビューアーに残されているログの中でも「セキュリティログ」と呼ばれるログをこまめに確認することが大切になります。

セキュリティログにはユーザーのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があるのです。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。)

そしてどのログを記録するのかを決定するのが、今回ご紹介する「監査ポリシー」なのです!

監査ポリシーを設定するには、グループポリシー管理エディターを開き設定を行いたいGPOを右クリックして「編集」を実行後、以下のように移動してください。

「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「ローカル ポリシー」-「監査ポリシー」

WS000816

※グループポリシー管理エディターを開くにはコマンドプロンプトから以下のコマンドを実行してください。
≪ドメインコントローラーの場合≫ gpmc.msc ≪メンバーサーバーの場合≫ gpedit.msc

監査ポリシーには以下の9つの項目があります:

cat2

例えばログオンイベントに関するログを記録したい場合、「アカウント ログオン イベントの監査」をクリック後[これらのポリシーの設定を定義する]チェックボックスを選択して、[成功]と[失敗]にチェックを入れます。
そうすることで、アカウントのログオンの成功/失敗時に監査エントリが生成されます。

またWindows Server 2008以降からは、より細かい設定が可能な「監査ポリシーの詳細な構成」が設定可能です。監査ポリシーの詳細な構成を開くには、GPOを右クリックして「編集」を実行後、以下のように移動してください。

「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「監査ポリシーの詳細な構成」-「監査ポリシー」

policy10

詳細な構成の監査ポリシーには以下の10つの項目があります:

cat

各ポリシーの内容については、ポリシー名をダブルクリック後、「説明」タブに移動することで詳細な説明文を表示することが可能です。

change

そして監査ポリシーを設定後は、コマンドプロンプトから以下のコマンドを実行することで全てのコンピューターに対して即座にグループポリシーの更新を行うことが可能です。
gpupdate /force

また現在設定されている監査ポリシーの一覧を表示するには、コマンドプロンプトから以下のコマンドを実行します。
auditpol /get /category:*

以上が監査ポリシーの説明、および設定方法のご紹介になります。

最後に、注釈でも書きましたが、すべてのログを記録するように設定することで膨大な情報を入手することができます。しかし、それだけ膨大な情報を人の手でしっかり管理することは、実質不可能に近いのではないのでしょうか。そのため、自社で運用可能な範囲でのログが記録されるよう、構築を行っていただければと思います。

また、弊社製品ADAudit Plusをご利用いただくことでログの管理を大変簡単に行うことが出来るため、セキュリティログを記録・保存しているけど細かく確認するところまではなかなか難しい・・という方は是非一度チェックしてみてください。

<< 基礎編(8) グループアカウントの種類と運用方法
>> 導入編(1) Active Directoryのユーザーアカウント作成とは?



関連ホワイトペーパーのご紹介

Active Directory 特権アクセスに対するセキュリティ対策ソリューション

Active Directoryの特権アカウントに対するセキュリティを向上させるためには、どこに注意し、どう対策をとるべきかを多方面から解説しています。特権アカウントに対するセキュリティを向上させたいという方、特権アカウントに対するコントロール不足を課題に感じている方に特におすすめです。

▼▼ダウンロードはこちら ▼▼
特権アクセスに対するセキュリティ対策ソリューション



【他シリーズのActive Directory連載記事はこちら】
MicrosoftのMVP解説!Active Directoryのハウツー読本第1回 Active Directoryの必要性
MicrosoftのMVP解説!AzureADの虎の巻
第1回 AzureADを利用する意味

Comments are closed.