監査ポリシーの構成 - 手動構成

アクティビティが発生した際に必ずイベントがログに記録されるよう、監査ポリシーを構成する必要があります。

高度な監査ポリシーの構成

高度な監査ポリシーを使用すると、管理者はログに記録するアクティビティをきめ細かく制御でき、イベントのノイズを削減できます。Windows Server 2008 以降で動作するドメインコントローラーでは、高度な監査ポリシーを構成することを推奨します。

• グループポリシー管理コンソールがインストールされている任意のコンピューターに、ドメイン管理者の資格情報でログインします → グループポリシー管理コンソールを開きます → Default Domain Controllers Policyを右クリックします → 編集をクリックします。

  Default Domain Controllers Policy の変更に抵抗がある場合は、代わりに同じ監査設定を持つ新しいGPOを作成できます。この新しいGPOをドメインコントローラーのOU にリンクして優先順位を高く設定し、以下の手順を実施してください。この方法により、デフォルトのポリシーを維持したまま、必要な監査ポリシーを適用できます。

• グループポリシー管理エディターで、[コンピューターの構成] → [ポリシー] → [Windows の設定] → [セキュリティの設定] → [監査ポリシーの詳細な構成] → [監査ポリシー] の順に展開し、該当するポリシー設定をダブルクリックします。
• 右側のペインに移動し、該当する「サブカテゴリ」を右クリックして [プロパティ] をクリックします → 下の表の指示に従って、[成功]、[失敗]、またはその両方を選択します。

高度な監査ポリシーの強制

高度な監査ポリシーを使用する場合は、レガシーの監査ポリシーよりも優先的に適用されるように強制設定を行う必要があります。

• グループポリシー管理コンソールがインストールされている任意のコンピューターに、ドメイン管理者の資格情報でログインします → グループポリシー管理コンソールを開きます → Default Domain Controllers Policy を右クリック → 編集をクリックします。
• グループポリシー管理エディターで、[コンピューターの構成] → [ポリシー] → [Windows の設定] → [セキュリティの設定] → [ローカル ポリシー] → [セキュリティ オプション] の順に展開します。
• 右側のペインに移動し、[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] を右クリック → [プロパティ] → [有効] を選択します。

レガシー監査ポリシーの構成

Windows Server 2003 以前では高度な監査ポリシーを構成するオプションがありません。そのため、これらのシステムではレガシー監査ポリシーを構成する必要があります。

• グループポリシー管理コンソールがインストールされている任意のコンピューターに、ドメイン管理者の資格情報でログインします → グループポリシー管理コンソールを開きます → Default Domain Controllers Policy を右クリック → 編集をクリックします。
• グループポリシー管理エディターで、[コンピューターの構成] → [ポリシー] → [Windows の設定] → [セキュリティの設定] → [ローカル ポリシー] → [監査ポリシー] をダブルクリックします。
• 右側のペインに移動し、該当するポリシーを右クリックして [プロパティ] をクリックします → 下の表の指示に従って、[成功]、[失敗]、またはその両方を選択します。

NTLM イベントの監査を有効にするには、ADAudit PlusのWeb コンソールにログインし、[サポート] タブをクリック → [サポート情報] の下の [詳細] をクリック → [構成] の下の [構成設定の有効化/無効化] をクリック → [NTLM 監査] を有効にします。