ADAudit Plus ナレッジベース

監査ポリシーの手動設定


Active Directoryの監査ポリシーを手動で設定する方法を紹介します。

ADAudit Plusで監査ログをレポート表示するためには、必要なイベントログ(セキュリティ ログ)が出力されている必要があります。イベントログを出力するためには、ドメインコントローラーのGPO(グループ ポリシー オブジェクト)から該当する監査ポリシーを有効化してください。

 

監査ポリシーの詳細な構成の設定

1. ドメイン管理者権限でドメインコントローラーにログオンし、グループポリシーの管理コンソール(GPMC)を開く

2. "Default Domain Controllers Policy"をグループポリシー管理エディターで開き、[監査ポリシーの詳細な構成]に移動

コンピューターの構成 → ポリシー → Windows の設定 → セキュリティの設定 → 監査ポリシーの詳細な構成

3. 成功/失敗または両方を選択してカテゴリを有効化

 

カテゴリー サブカテゴリー 設定値
アカウントログイン
  • Kerberos 認証サービスの監査
  • その他のアカウント ログオン イベントの監査
成功 と 失敗
アカウントの管理
  • コンピューター アカウントの管理の監査
  • 配布グループの管理の監査
  • セキュリティ グループの管理の監査
成功
  • ユーザー アカウントの管理の監査
成功 と 失敗
詳細追跡
  • プロセス作成の監査
  • プロセス終了の監査
成功
  • PNP アクティビティの監査
成功 と 失敗
DS アクセス
  • ディレクトリ サービスの変更の監査
  • ディレクトリ サービス アクセスの監査
成功
ログオン/ログオフ
  • ログオフの監査
成功
  • ログオンの監査
  • 特殊なログオンの監査
  • その他のログオン/ログオフ イベントの監査
  • ネットワーク ポリシー サーバーの監査
成功 と 失敗
オブジェクト アクセス
  • その他のオブジェクト アクセス イベントの監査
成功
  • 証明書サービスの監査
  • 生成されたアプリケーションの監査
  • リムーバブル記憶域の監査
成功 と 失敗
ポリシーの変更
  • 認証ポリシーの変更の監査
  • 承認ポリシーの変更の監査
成功
システム
  • セキュリティ システムの拡張の監査
  • セキュリティ状態の変更の監査
成功
  • システムの整合性の監査
成功 と 失敗

 

[ドメイン設定]内の[監査ポリシー:設定する]より監査ポリシーを自動設定した場合も同じポリシーが適用されます。

上記テーブルでは、多くの組織で必要とされる基本的なポリシーの設定を紹介しております。そのため監査要件によっては、追加の設定が必要になる場合があります。
例:JPCERT/CC推奨のイベントログ監査への対応

2017年にJPCERT/CCが公開した文書「ログを活用したActive Directoryに対する攻撃の検知と対策」で監査が推奨されているログを出力する場合、下記を有効化します。

イベントID サブカテゴリー 設定値
4698 その他のオブジェクト アクセス イベントの監査 成功 と 失敗
1102 その他のイベント なし(自動生成)
4624 ログオンの監査 成功 と 失敗
4625 ログオンの監査 成功 と 失敗
4768 Kerberos 認証サービスの監査 成功 と 失敗
4769 Kerberos サービス チケット操作の監査 成功 と 失敗
4776 資格情報の確認の監査 成功 と 失敗
4672 特殊なログオンの監査 成功 と 失敗

 

 

補足:監査ポリシーの詳細な構成を強制する方法

監査ポリシーの詳細な構成を適用する場合、それらが従来の監査ポリシーよりも優先されている必要があります。下記より確認可能です。

1. ドメイン管理者権限でログオンし、グループポリシーの管理コンソール(GPMC)を開く

2. "Default Domain Controllers Policy"をグループポリシー管理エディターで開き、[セキュリティ オプション]に移動

コンピューターの構成 → ポリシー → Windows の設定 → セキュリティの設定 → ローカルポリシー → セキュリティ オプション

3. 下記ポリシーが「有効」であることを確認

監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする