監査ポリシーの手動設定(ワークステーション)

監査するワークステーションで必要な監査ポリシー:

監査ポリシーの設定手順

  1. GPMC(グループ ポリシー管理コンソール)を開きます。
  2. グループポリシーを新規作成します。名前を"ADAuditPlusWSPolicy"と入力します。
  3. ポリシー"ADAuditPlusWSPolicy"を監査対象ドメインにリンクします(ドメインを右クリック → 「既存のGPOのリンク」 → "ADAuditPlusWSPolicy"を選択)。
  4. ポリシー"ADAuditPlusWSPolicy"を右クリック → 編集 をクリックします。
  5. 以下のようにツリーを展開し、"監査ポリシー"の項目を開きます。
"コンピューターの構成" → "ポリシー" → "Windows の設定" → "セキュリティの設定" → "監査ポリシーの詳細な構成" → "監査ポリシー"
  1. 推奨する監査ポリシーの設定は以下です。
カテゴリー サブカテゴリー 設定値
アカウントの管理
  • コンピューター アカウントの管理の監査
  • 配布グループの管理の監査
  • セキュリティ グループの管理の監査
 成功
  • ユーザー アカウントの管理の監査
 成功と失敗
詳細追跡
  • DPAPI アクティビティの監査
 成功と失敗
ログオン/ログオフ
  • ログオフの監査
 成功
  • ログオンの監査
  • 特殊なログオンの監査
  • その他のログオン/ログオフ イベントの監査
  • ネットワーク ポリシー サーバーの監査
 成功と失敗
オブジェクトアクセス
  • その他のオブジェクト アクセス イベントの監査
 成功
  • リムーバブル記憶域の監査
 成功と失敗
ポリシーの変更
  • 認証ポリシーの変更の監査
  • 承認ポリシーの変更の監査
 成功
システム
  • セキュリティ システムの拡張の監査
  • セキュリティ状態の変更の監査
 成功
  • システムの整合性の監査
 成功と失敗
[監査ポリシーの詳細な構成]を従来の[監査ポリシー]より優先させるため、[コンピューターの構成]→[ポリシー]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]に移動後、[監査: 監査ポリシー サブカテゴリの設定(Windows Vista 以降)を強制して、監査ポリシー サブカテゴリの設定を上書きする]のポリシーが”有効”であることを確認します。

グループ"Authenticated Users"の権限を削除

作成したポリシー"ADAuditPlusWSPolicy"に対して、グループ"Authenticated Users"が有する権限「グループポリシーの適用」許可のチェックを外します。

  1. ポリシー"ADAuditPlusWSPolicy"をクリック → 右ペインにて[詳細]タブをクリック → [一意のID]に記載されいているIDをメモします。
  2. 「Active Directory ユーザーとコンピューター」を起動します(Windowsマーク + R を押下後、"dsa.msc"と入力することで起動できます)。
  3. 監査対象ドメインツリーを開き、System → Policies → "メモした一意のID"を右クリック → プロパティ → セキュリティタブ をクリックします。
  4. グループ"Authenticated Users"の権限"グループポリシーの適用"の許可ボックスのチェックを外します(ご利用Active Directoryバージョンによっては、[詳細設定]から設定できる場合があります)。

新しいグローバルセキュリティグループを作成・監査対象となるワークステーションを追加

  1. 「Active Directory ユーザーとコンピューター」を起動します(Windowsマーク + R を押下後、"dsa.msc"と入力することで起動できます)。
  2. 新規にグローバルセキュリティグループ"ADAuditPlusWS"を作成します。
  3. 新規に作成したグローバルセキュリティグループ"ADAuditPlusWS"に、監査対象メンバーサーバをメンバーとして追加します。
  4. グループ"ADAuditPlusWS"を、ポリシー"ADAuditPlusWSPolicy"の「セキュリティフィルター処理」に追加します。