AD CS監査の設定

AD CSサーバーを追加

AD CS監査を有効にするには、AD CSがインストールされているデバイスを、ADAudit Plusに追加する必要があります。

• AD CSをドメインコントローラーにインストールしている場合は、ADAudit PlusでActive Directoryドメインおよびドメインコントローラーを追加します。 こちらのページで方法を確認してください。
• WindowsサーバーにAD CSをインストールしている場合は、ADAudit Plusに該当のWindowsサーバーを追加します。こちらのページで方法を確認してください。

監査ポリシーの設定

AD CS監査を実施する場合、ADAudit Plusで必要な監査ポリシーを自動または手動で設定できます。

自動設定

監査ポリシーを自動設定するには、以下の手順を実施してください。

• AD CSがドメインコントローラーにインストールされている場合は、こちらのページで方法を確認してください。
• AD CSがWindowsサーバーにインストールされている場合は、こちらのページで方法を確認してください。

手動設定

監査ポリシーを手動設定する場合、以下の手順を実施してください。

監査ポリシーの詳細な構成

1. AD CSがインストールされたデバイスに適用しているグループポリシー（GPO）を編集→コンピューターの構成→ポリシー→Windows の設定→セキュリティの設定→監査ポリシーの詳細な構成→監査ポリシーに移動し、以下を設定します。
2. [オブジェクトアクセス]をダブルクリックします。
3. 右側のパネルで[監査証明サービス]を右クリックします。[プロパティ] を選択し、[成功]と[失敗]にチェックします。
   

監査ポリシーの詳細な構成を強制

[監査ポリシーの詳細な構成]を従来の[監査ポリシー]より優先させるため、[コンピューターの構成]→[ポリシー]→[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]に移動後、[監査: 監査ポリシー サブカテゴリの設定(Windows Vista 以降)を強制して、監査ポリシー サブカテゴリの設定を上書きする]のポリシーが”有効”であることを確認します。

AD CSサーバーでの監査を有効化

CA監査を設定

• ドメイン管理者の認証情報を使用してAD CSサーバーにログインします。
• 認証局管理コンソールを開き、CAを右クリックして、[プロパティ]を選択します。
• [プロパティ]ウィンドウから [監査] タブを選択し、以下にリストされているカテゴリの横にあるボックスをオンにします。
  • CA構成を変更
  • CAセキュリティ設定を変更
  • 証明書リクエストの発行と管理
  • 証明書を取り消してCRLを発行
  • アーカイブ格納したキーを保存および取り込む

証明書テンプレートの変更の監視

エンタープライズCAによって発行された証明書テンプレートに加えられた変更は、レジストリを更新することでADAudit Plusで監査できます。証明書テンプレートの監査を有効にするには、管理者としてコマンドプロンプトを開き、次のコマンドを実行します。