手動でドメイン コントローラーに拡張監査ポリシーを設定する

 

ADAudit Plusはドメイン コントローラー、メンバ サーバ、ファイル サーバのセキュリティ ログに記録されたデータを収集し、レポートを作成します。 これらのオブジェクトに記録されるセキュリティ ログは、オブジェクトに設定された監査ポリシー/拡張監査ポリシー(Windows2008以上で有効)によって決まります。

拡張監査ポリシーを設定すると、監査のために必要とされるセキュリティログのみ収集され、不要なログを高速で充填しないディスクスペースを確保します。

 

Windows(Windows2008以上)のサーバ環境でドメイン コントローラの拡張監査ポリシーを設定する:

"デフォルト ドメイン コントローラ ポリシー"の拡張監査ポリシーは、監査に必要なセキュリティログのみを収集するため、ADAudit Plusで設定されます。

 

"デフォルト ドメイン コントローラ ポリシー"を編集する手順:

  1. 管理者権限を持ったアカウントでWindowsにログオンします。

  2. グループ ポリシー スナップインがインストールされていることを確認します。

  3. Windows 2003/2008 サーバーで"GPMC(グループ ポリシー管理コンソール)"を開きます。

  4. "デフォルト ドメイン コントローラ ポリシー"を選択します。

または、 "Domain Controllers" → "Default Domain Contollers Policy" を選択します。

  1. "デフォルト ドメイン コントローラ ポリシー"を→クリックして、"編集"をクリックします。

  2. "グループ ポリシー管理エディター"が開くので、以下のように"監査ポリシー"を開きます。

"コンピューターの構成" > "ポリシー" > "Windows の設定" > "セキュリティの設定" > "拡張監査ポリシー" > "監査ポリシー"を選択します。

 

  1. 右側のペインにて、設定(有効化/無効化)するポリシーをダブルクリックします。

"デフォルト ドメイン コントローラ ポリシー"で設定する拡張監査ポリシーについて

 

  • ログオン イベントを監査する: アカウント ログオンの選択→"Kerberos認証サービス(成功&失敗)。

  • ユーザー、グループ、コンピューターを監査する: アカウント管理の選択→''コンピューター アカウント管理''(成功)、"配布グループ管理"(成功)、"セキュリティ グループ管理"(成功)、"ユーザ アカウント管理"(成功&失敗)を設定します。

  • プロセス追跡を監査する: 詳細追跡の選択→プロセス作成(成功)、プロセス終了(成功)

  • GPO、OU、Configuration、Schema、Contacts、Containers、Siteを監査する: DSアクセスの選択→Directoryサービス変更(成功)、Directoryサービス アクセス(成功)。

  • 監査ログオン/ログオフする: ログオン/ログオフを選択します→ログオン(成功&失敗)、監査ログオフ(成功)、ネットワーク ポリシー サーバ(成功&失敗)、他のイベントのログオン/ログオフを設定します。

  • ファイル サーバ監査を監査する: オブジェクト アクセスの選択→他のオブジェクト アクセス イベント(成功)。

  • ローカルポリシーの変更を監査する: ポリシー変更の選択→ポリシー変更の認証(成功)、ポリシー変更の認証(成功)。

  • システムイベントを監査する: システムの選択→セキュリティ状態の変更(成功)。

Copyright ゥ 2012, ZOHO Corp. All rights reserved.
ManageEngine