監査ポリシーの手動設定(メンバーサーバー)
メンバーサーバ上のイベントを監査するために必要な監査ポリシーの設定です:
監査ポリシーの設定手順
- GPMC(グループ ポリシー管理コンソール)を開きます。
- グループポリシーを新規作成します。名前を"ADAuditPlusMSPolicy"と入力します。
- ポリシー"ADAuditPlusMSPolicy"を監査対象ドメインにリンクします(ドメインを右クリック → 「既存のGPOのリンク」 → "ADAuditPlusMSPolicy"を選択)。
- ポリシー"ADAuditPlusMSPolicy"を右クリック → 編集 をクリックします。
- 以下のようにツリーを展開し、"監査ポリシー"の項目を開きます。
"コンピューターの構成" → "ポリシー" → "Windows の設定" → "セキュリティの設定" → "監査ポリシーの詳細な構成" → "監査ポリシー"
- 設定を推奨する監査ポリシーは以下です。
| カテゴリー | サブカテゴリー | 設定値 |
|---|---|---|
| アカウントの管理 |
|
成功 |
|
成功と失敗 | |
| 詳細追跡 |
|
成功 |
| ログオン/ログオフ |
|
成功 |
|
成功と失敗 | |
| オブジェクトアクセス |
|
成功 |
| ポリシーの変更 |
|
成功 |
| システム |
|
成功 |
|
成功と失敗 |
[監査ポリシーの詳細な構成]を従来の[監査ポリシー]より優先させるため、[コンピューターの構成]→[ポリシー]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]に移動後、[監査: 監査ポリシー サブカテゴリの設定(Windows Vista 以降)を強制して、監査ポリシー サブカテゴリの設定を上書きする]のポリシーが”有効”であることを確認します。
グループ"Authenticated Users"の権限を削除
作成したポリシー"ADAuditPlusMSPolicy"に対して、グループ"Authenticated Users"が有する権限「グループポリシーの適用」許可のチェックを外します。
- ポリシー"ADAuditPlusMSPolicy"をクリック → 右ペインにて[詳細]タブをクリック → [一意のID]に記載されいているIDをメモします。
- 「Active Directory ユーザーとコンピューター」を起動します(Windowsマーク + R を押下後、"dsa.msc"と入力することで起動できます)。
- 監査対象ドメインツリーを開き、System → Policies → "メモした一意のID"を右クリック → プロパティ → セキュリティタブ をクリックします。
- グループ"Authenticated Users"の権限"グループポリシーの適用"の許可ボックスのチェックを外します(ご利用Active Directoryバージョンによっては、[詳細設定]から設定できる場合があります)。
新しいグローバルセキュリティグループを作成・監査対象となるメンバーサーバーを追加
- 「Active Directory ユーザーとコンピューター」を起動します(Windowsマーク + R を押下後、"dsa.msc"と入力することで起動できます)。
- 新規にグローバルセキュリティグループ"ADAuditPlusMS"を作成します。
- 新規に作成したグローバルセキュリティグループ"ADAuditPlusMS"に、監査対象メンバーサーバをメンバーとして追加します。
- グループ"ADAuditPlusMS"を、ポリシー"ADAuditPlusMSPolicy"の「セキュリティフィルター処理」に追加します。
