監査ポリシーの手動設定
作成日:2015年10月6日 | 更新日:2022年10月27日
Active Directoryの監査ポリシーを手動で設定する方法を紹介します。
ADAudit Plusで監査ログをレポート表示するためには、必要なイベントログ(セキュリティ ログ)が出力されている必要があります。イベントログを出力するためには、ドメインコントローラーのGPO(グループ ポリシー オブジェクト)から該当する監査ポリシーを有効化してください。
監査ポリシーの詳細な構成の設定
1. ドメイン管理者権限でドメインコントローラーにログオンし、グループポリシーの管理コンソール(GPMC)を開く
2. "Default Domain Controllers Policy"をグループポリシー管理エディターで開き、[監査ポリシーの詳細な構成]に移動
コンピューターの構成 → ポリシー → Windows の設定 → セキュリティの設定 → 監査ポリシーの詳細な構成
3. 以下の表を参照し、成功/失敗または両方を選択してカテゴリを有効化(本社ページを参照)
| カテゴリー | サブカテゴリー | 設定値 |
|---|---|---|
| アカウントログイン |
|
成功 と 失敗 |
| アカウントの管理 |
|
成功 |
|
成功 と 失敗 | |
| 詳細追跡 |
|
成功 |
| DS アクセス |
|
成功 |
| ログオン/ログオフ |
|
成功 |
|
成功 と 失敗 | |
| オブジェクト アクセス |
|
成功 |
| ポリシーの変更 |
|
成功 |
| システム |
|
成功 |
例:JPCERT/CC推奨のイベントログ監査への対応
2017年にJPCERT/CCが公開した文書「ログを活用したActive Directoryに対する攻撃の検知と対策」で監査が推奨されているログを出力する場合、下記を有効化します。
| イベントID | サブカテゴリー | 設定値 |
|---|---|---|
| 4698 | その他のオブジェクト アクセス イベントの監査 | 成功 と 失敗 |
| 1102 | その他のイベント | なし(自動生成) |
| 4624 | ログオンの監査 | 成功 と 失敗 |
| 4625 | ログオンの監査 | 成功 と 失敗 |
| 4768 | Kerberos 認証サービスの監査 | 成功 と 失敗 |
| 4769 | Kerberos サービス チケット操作の監査 | 成功 と 失敗 |
| 4776 | 資格情報の確認の監査 | 成功 と 失敗 |
| 4672 | 特殊なログオンの監査 | 成功 と 失敗 |
その他参考資料
補足:監査ポリシーの詳細な構成を強制する方法
監査ポリシーの詳細な構成を適用する場合、それらが従来の監査ポリシーよりも優先されている必要があります。下記より確認可能です。
1. ドメイン管理者権限でログオンし、グループポリシーの管理コンソール(GPMC)を開く
2. "Default Domain Controllers Policy"をグループポリシー管理エディターで開き、[セキュリティ オプション]に移動
コンピューターの構成 → ポリシー → Windows の設定 → セキュリティの設定 → ローカルポリシー → セキュリティ オプション
3. 下記ポリシーが「有効」であることを確認
監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする
