制御対象のリソースへのアクセスと、承認ポリシーに対するすべての変更を監視することにより、潜在的なセキュリティ上の問題を追跡したり、ユーザーのアカウンタビリティを確保したり、セキュリティ違反の証拠を入手したりすることができます。

監査の種類

承認マネージャーでは、ランタイム監査と承認ストア変更の監査の 2 種類の監査を使用できます。

ランタイム監査

ランタイム監査には 2 つの側面があります。

  • ランタイム アプリケーション初期化の監査。アプリケーションが開かれるときに監査が生成されます。

  • ランタイム クライアント コンテキストとアクセス確認監査。クライアント コンテキストが作成されるとき、およびクライアントによるアクセス確認の呼び出しごとに監査が生成されます。アクセス チェックは、Platform SDK の「Authorization」のセクションに記載された AccessCheck メソッドに基づきます。承認に関連するアプリケーション プログラミング インターフェイス (API) の詳細については、承認に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=64031) を参照してください。

成功、失敗、または両方をログに記録するように、ランタイム監査を構成することができます。

承認ストア変更の監査

承認ストア変更の監査を有効にすると、承認ストアを変更するたびに監査が生成されます。この監査は、すべてのイベント、成功、および失敗をログに記録します。

承認ストア変更の監査の場合、承認マネージャーは NTFS ファイル システム (XML ベースの承認ストアの場合)、Active Directory ドメイン サービス (AD DS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS)、および Microsoft SQL Server をサポートします。

監査イベントを検索する

承認マネージャーによって生成された監査イベントを表示するには、該当するコンピューターでイベント ログを表示します。

  • ランタイム監査のイベントは、アプリケーションが実行されているクライアント コンピューターのセキュリティ ログに記録されます。

  • 承認ストア変更の監査のイベントは、ストアが置かれているコンピューターのセキュリティ ログに記録されます。

    • XML ベースの承認ストアの場合、監査レコードは、XML ファイルを格納しているコンピューターのイベント ビューアーで確認できます。

    • AD DS または AD LDS を使用する承認ストアの場合、監査レコードは、ドメイン コントローラーまたはアクセスされている AD LDS サーバーのイベント ビューアーで確認できます。

    • SQL ベースの承認ストアの場合、監査レコードは、SQL Server をホストするコンピューターのイベント ビューアーで確認できます。

監査の利用可能性

監査の利用可能性は次の要素に左右されます。

  • 承認ストアが AD DS、AD LDS、XML、SQL のどれに基づいているか。

  • 監査が、承認ストア レベル、アプリケーション レベル、スコープ レベルのどこで構成されているか。

次の表に、2 種類の監査の利用可能性を示します。

レベル ランタイム監査が使用可能 ランタイム監査が構成可能なレベル 承認ストア変更の監査が使用可能

承認ストア

  • XML

  • AD DS および AD LDS

  • SQL Server

  • XML

  • AD DS および AD LDS

  • SQL Server

  • XML

  • AD DS および AD LDS

  • SQL Server

アプリケーション

  • XML

  • AD DS および AD LDS

  • SQL Server

  • XML

  • AD DS および AD LDS

  • SQL Server

  • AD DS および AD LDS

  • SQL Server

スコープ

  • XML

  • AD DS および AD LDS

  • SQL Server

利用不可 (アプリケーション レベルで構成)

  • AD DS および AD LDS

  • SQL Server

監査を使用するには、[監査] タブで該当するチェック ボックスをオンにする必要があります。ランタイム監査を有効にするには、[ランタイムのアプリケーション初期化の監査] チェック ボックスをオンにします。承認ストア変更の監査を有効にするには、[ランタイム クライアント コンテキストとアクセス確認監査] チェック ボックスをオンにします。

監査を許可するようにシステムを構成する

監査を実装する前に、監査ポリシーを決定する必要があります。監査ポリシーは、監査対象とするセキュリティ関連イベントのカテゴリを指定します。既定では、Windows を最初にインストールしたときは、すべての監査カテゴリが無効になっています。

監査するアプリケーションとスコープを構成するためには、承認ストアが配置されているコンピューターで、"監査とセキュリティ ログの管理" 特権を持っている必要があります。通常、ビルトインの Administrators グループのメンバーとしてログオンするか、プロンプトが表示されたときに管理者のパスワードを指定することによってこの特権が得られます。

承認ストアが XML ベースの場合、オブジェクト アクセスの監査を指定する必要があります。承認ストアが AD DS または AD LDS ベースの場合、ディレクトリ サービスのアクセスの監査を指定する必要があります。

ランタイム クライアント コンテキストとアクセス確認監査を作成するためには、承認マネージャーを使用するアプリケーションのユーザーに "セキュリティ監査の生成" 特権が付与されている必要があります。アプリケーションのユーザーがこの特権を持っていない場合、監査イベントは記録されません。

オブジェクト アクセスの監査を有効にする

既定では、オブジェクト アクセスの監査はオフになっています。この監査をオンにするには、AD DS または AD LDS のドメイン、ドメイン コントローラー、またはその他の該当する組織単位レベルでグループ ポリシーを使用する必要があります。ローカル セキュリティ ポリシーを使用することもできます。

XML ベースの承認ストアがドメイン コントローラーにある場合は、"既定のドメイン コントローラー ポリシー" のグループ ポリシー オブジェクト (GPO) がオブジェクト アクセスの監査をオンにするのに一番適した場所です。XML ベースの承認ストアがワークステーションまたはメンバー サーバーにある場合、そのコンピューターのローカル GPO を編集してローカル セキュリティ ポリシーを設定できますが、それらの設定が適用される期間は、グループ ポリシー セキュリティ設定の次回の更新までとなります。この機能は、監査を 1 度だけ生成する場合に利用できます。ただし、定期的なセキュリティ監査を計画している場合は、AD DS をとおしてコンピューターに適用する別の GPO を編集する必要があります。

オブジェクト アクセスの監査を有効にするには、次のオブジェクトを構成します。

  • ローカル コンピューターの場合

    1. ローカル グループ ポリシー エディターを開きます。

    2. コンソール ツリーで、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にダブルクリックします。

    3. [オブジェクト アクセスの監査] をクリックします。

    4. 詳細ウィンドウで、[これらのポリシーの設定を定義する]、[成功]、[失敗] チェック ボックスの順にオンにします。

  • ドメイン コントローラーのみの場合

    1. [スタート] ボタン、[プログラム]、[管理ツール] の順にクリックして、[ドメイン コントローラー セキュリティ ポリシー] をダブルクリックします。

    2. コンソール ツリーで、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にダブルクリックします。

    3. [オブジェクト アクセスの監査] をクリックします。

    4. 詳細ウィンドウで、[これらのポリシーの設定を定義する]、[成功]、[失敗] チェック ボックスの順にオンにします。

  • ドメインまたは組織単位の場合

    1. グループ ポリシー管理コンソール (GPMC) を開きます。

    2. 監査する GPO を右クリックし、[編集] をクリックします。

    3. コンソール ツリーで、[コンピューターの構成]、[ポリシー]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にダブルクリックします。

    4. [オブジェクト アクセスの監査] をクリックします。

    5. 詳細ウィンドウで、[これらのポリシーの設定を定義する]、[成功]、[失敗] チェック ボックスの順にオンにします。

その他の考慮事項

  • ドメインベースのポリシー設定を編集するには GPMC をインストールする必要があります。GPMC は Windows Server 2008 の追加機能で、サーバー マネージャーを使用してインストールできます。

  • ローカル GPO を編集している場合、[これらのポリシーの設定を定義する] チェック ボックスはローカル グループ ポリシー エディターには表示されません。AD DS に格納されている GPO を編集している場合にのみ表示されます。

  • [成功] と [失敗] の監査チェック ボックスが使用できない場合、AD DS 構造の上位レベルで機能しているセキュリティ ポリシーで [これらのポリシーの設定を定義する] チェック ボックスがオンになっている可能性があります。このような場合、[これらのポリシーの設定を定義する] チェック ボックスがどこでオンになっているかを探し、クリックしてチェック ボックスをオフにする必要があります。この設定の場所を検索するには、そのコンピューターに影響している GPO を参照します。

ディレクトリ アクセスの監査を有効にする

既定では、ディレクトリ サービスのアクセスの監査はオフになっています。この監査をオンにするには、AD DS のドメイン、ドメイン コントローラー、またはその他の該当する組織単位レベルでグループ ポリシーを使用する必要があります。

オブジェクト アクセスの監査を有効にするには、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にノードを展開し、[ディレクトリ サービスのアクセスの監査] をダブルクリックします。

[これらのポリシーの設定を定義する] チェック ボックスをオンにし、[成功] チェック ボックスと [失敗] チェック ボックスをオンにします。

その他の考慮事項

  • [成功] と [失敗] の監査チェック ボックスが使用できない場合、AD DS の上位レベルで機能しているセキュリティ ポリシーで [これらのポリシーの設定を定義する] チェック ボックスがオンになっている可能性があります。このような場合、[これらのポリシーの設定を定義する] チェック ボックスがどこでオンになっているかを探し、クリックしてチェック ボックスをオフにする必要があります。この設定の場所を検索するには、ドメイン コントローラーに影響している GPO を参照します。

  • GPO を編集した後、gpupdate コマンドを実行して、直ちに変更を有効にします。

継承によって有効になる監査

継承によって取得した監査は、ローカル設定にかかわらず実行されます。たとえば、AD DS に保存された承認ストアの場合、監査ポリシーを AD DS の親組織単位から継承することができます。XML ベースの承認ストアの場合は、XML ファイルを含むフォルダーの監査ポリシーがこれに該当します。


目次