セキュリティ イベントをネットワーク管理者にレポートするポリシー
ADAudit Plusでセキュリティ イベントに関するレポートを有効化するには - ドメイン コントローラの"Active Directory ユーザーとコンピューター"の監査ポリシー設定において、監査ポリシーを定義する必要があります。
この作業を行うためには、Active Directoryの"Domain Admins"あるいは"Enterprise Admins"に属したユーザー、あるいはそれに相当した権限が委任されているユーザーが必要です。 セキュリティ上のベスト プラクティスとして、以下の操作は「管理者として実行」を使用することをお勧めします。
"Active Directory ユーザーとコンピューター"スナップインを開きます。
(“スタート”” → “コントロールパネル” → “管理ツール” → “Active Directory ユーザーとコンピューター”)
左側のツリー表示で 、ドメイン名の上で右クリックします。
"プロパティ"を選択し、"セキュリティ"タブをクリックします。
"詳細設定"をクリックし、セキュリティの詳細設定を開きます。
"監査"タブをクリックし、"追加"をクリックしてセキュリティ ポリシーを適用する対象のセキュリティ プリンシパルを追加します(ここでは Everyone を対象とします)。"OK"をクリックします。
監査エントリのウインドウが開きます。
Active Directory上でのGPOの作成/削除を監査するには、以下の監査エントリを有効化する必要があります。
適用先: このオブジェクトとすべての子オブジェクト
以下の監査エントリのすべて、"成功"にチェックを入れます:
groupPolicyContainer オブジェクトの作成
groupPolicyContainer オブジェクトの削除
Active Directoryの groupPolicyContainer オブジェクトのすべてのプロパティの書き込み/削除/変更を監査するには、以下の監査エントリを有効化する必要があります。
適用先: "groupPolicyContainer オブジェクト"
以下の監査エントリのすべて、"成功"にチェックを入れます:
すべてのプロパティの書き込み
削除
アクセス許可を変更
以下の表は、GPO監視に必要なSACLの情報です:
|
SACL適用先オブジェクト |
プリンシパル |
タイプ |
アクセス |
スコープ |
GPO作成/削除用SACL |
ドメイン |
Everyone |
成功 |
|
このオブジェクトとすべての子オブジェクト |
groupPolicyContainer オブジェクトのプロパティ書き込み、削除、アクセス許可の修正用SACL |
ドメイン |
Everyone |
成功 |
|
groupPolicyContainer オブジェクト |