システム監査の設定

TOPBACKNEXT

POINT1

Windows 2000のデフォルトではシステム監査は設定されていません。これは、ユーザーのログオンやログオフの成功や失敗、重要なファイルへのアクセス失敗などについて追跡する手がかりが何もない状態と言えます。Windows 2000ではシステム監査の機能を利用することにより、セキュリティ上重要なイベントをイベントログ(セキュリティログ)に記録するように設定できます。

Windows 2000では以下の項目について、「成功」と「失敗」に関する監査を行なうことが可能です。

scm.jpg (3991 バイト)

 b4.jpg (2057 バイト) アカウント ログオン イベントの監査

 b4.jpg (2057 バイト) アカウント管理の監査

 b4.jpg (2057 バイト) オブジェクト アクセスの監査

 b4.jpg (2057 バイト) システムイベントの監査

 b4.jpg (2057 バイト) ディレクトリ サービスのアクセスの監査

 b4.jpg (2057 バイト) プロセス追跡の監査

 b4.jpg (2057 バイト) ポリシーの変更の監査

 b4.jpg (2057 バイト) 特権使用の監査

 b4.jpg (2057 バイト) ログオンイベントの監査

セキュリティイベント監査の一般的な設定例を以下に示します。
多くの項目について監査を設定した場合、監査ログによりシステムのパフォーマンスに影響を与える場合があります。監査の取りすぎには注意する必要があります。

監査イベント

成功

失敗
アカウント ログオン イベントの監査
アカウント管理の監査
オブジェクト アクセスの監査
システムイベントの監査
ディレクトリ サービスのアクセスの監査

プロセス追跡の監査

ポリシーの変更の監査

特権使用の監査

ログオンイベントの監査

セキュリティ監査の設定は、次のいずれかの方法により行なうことができます。

標準機能

「管理ツール」から「ローカル セキュリティ ポリシー」を起動し「ローカル ポリシー」の「監査ポリシー」で、必要に応じて各イベントの「成功」/「失敗」をチェックします。

SCM

「ローカルポリシー」の中の「監査ポリシー」で各々の監査項目を設定します。

POINT2

「ユーザー権利の使用」の監査を有効にした場合でも、標準ではすべてのユーザー権利の使用についてが監査されるわけではありません。デフォルトでは、「ユーザー権利の使用」を監査するように設定しても以下のユーザー権利の使用については監査されていません。

 b4.jpg (2057 バイト) 走査チェックのバイパス

 b4.jpg (2057 バイト) プログラムのデバッグ

 b4.jpg (2057 バイト) トークンオブジェクトの作成

 b4.jpg (2057 バイト) プロセスレベルトークンの置き換え

 b4.jpg (2057 バイト) セキュリティ監査の生成

 b4.jpg (2057 バイト) ファイルとディレクトリのバックアップ

 b4.jpg (2057 バイト) ファイルとディレクトリの復元

これらのユーザー権利の監査を有効にするには、次のいずれかの方法で監査が行われるように設定する必要があります。ただし、環境によってはこの監査により大量の監査ログが発生する可能性がありますので、慎重に設定してください。

レジストリ*レジストリを編集する前には、必ずバックアップを行ってください。

「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。

Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Name FullPrivilegeAuditing
Type REG_BINARY
Value 1

全ての監査を有効にするには、値に「1」を設定します。

POINT3

さらに、内部システムオブジェクトへのアクセスの監査を有効にするためには、次のいずれかの設定を行ないます。この機能を有効にする際は、「ファイルとオブジェクトへのアクセス」の監査が有効になっている必要があります。

レジストリ*レジストリを編集する前には、必ずバックアップを行ってください。

「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。

Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Name AuditBaseObjects
Type REG_DWORD
Value 1

内部システムオブジェクトへの監査を有効にするには、値に「1」を設定します。

SCM

「ローカルポリシー」の中の「セキュリティオプション」で、以下を「有効」に設定します。

b4.jpg (2057 バイト) グローバル システム オブジェクトへのアクセスを監査する

POINT4

Windows NTでは、セキュリティログの容量が設定された制限値に達し、それ以上セキュリティログを記録することができなくなった場合、自動的にシステムをシャットダウンさせることが可能です。この機能により、セキュリティログに記録されない操作を防ぐことが可能です。この機能を有効にするためには、次のいずれかの設定を行ないます。

レジストリ*レジストリを編集する前には、必ずバックアップを行ってください。

「レジストリエディタ」を起動し、次のレジストリキー値を作成または設定した後、リブートします。

Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Name CrashOnAuditFail
Type REG_DWORD
Value 1

セキュリティログが一杯になった時点でシステムを自動的にシャットダウンさせる場合は、値に「1」を設定します。

SCM

「ローカルポリシー」の中の「セキュリティオプション」で、以下を「有効」に設定します。

b4.jpg (2057 バイト) セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする

この設定によりセキュリティ監査ログが満杯になった場合、システムは自分自身を自動的にシャットダウンし、上記レジストリ値に「2」をセットします。システム再起動後には管理者のみがそのマシンにローカルまたはリモートからログオンできます。

管理者はセキュリティ監査ログを保存またはクリアした後、上記レジストリ値を「1」にリセットしてから、システムを再起動する必要があります。

このページに掲載されている情報と登録商標について。