監査ポリシーの概要

SCWAudit.inf は、セキュリティの構成ウィザード (SCW) と共に提供される監査セキュリティ テンプレートです。SCWAudit.inf は、オペレーティング システムの改ざんが実行または試行されたことを検出するのに役立つシステム アクセス制御リスト (SACL) を定義します。Windows ディレクトリ構造内の実行可能ファイルまたは構成ファイルに対するアクセスや、Windows サービスの状態や構成に関する変更が何らかのユーザーによって行われると、システムはそれらのイベントをこの SACL によって記録します。SACL を使用しても、主に別の目的で使用されていたファイルやディレクトリを Windows が監視することはなく、SACL はログされるイベントをできるだけ少なく生成します。しかし、サービス パックの適用、バックアップからの情報の復元、または Windows ディレクトリのすべてまたは一部に対するアクセス許可の変更を行うと、多数のイベントが生成される場合があります。

SCW のロールバック機能には、SACL をロールバックする機能は含まれていません。そのため、SCWAudit.inf セキュリティ テンプレートを適用しない場合は、[監査ポリシーの概要] ページの [SCWAudit.inf セキュリティ テンプレートも含める。SCWAudit.inf によって、ファイル システムのアクセスを監査するためのシステム アクセス制御リスト (SACL) が設定されます] チェック ボックスをオフにします。

ファイル システムおよび SCWAudit.inf に定義されているレジストリ SACL の詳細を表示するには、セキュリティ テンプレート スナップインで SCWAudit.inf を開きます。SCWAudit.inf は、%WINDIR%\Security\Msscw\Kbs にあります。

もう 1 つのセキュリティ テンプレート、DefaultSACLs.inf も用意されています。DefaultSACLs.inf を使用すると、SCWAudit.inf が正しく動作しない場合に既定の SACL を再適用できます。適用される既定の SACL は、SCWAudit.inf を適用する前に有効だった SACL ではなく、Windows と共にインストールされたものです。DefaultSACLs.inf を適用するには、コマンド プロンプトで次のように入力します。

secedit /configure /cfg DefaultSACLs.inf /db DefaultSACLs.sdb