リファレンス:Policy Change
「ポリシーの変更」監査は、システムのセキュリティポリシーや監査ポリシーが変更されたときに記録するカテゴリです。簡単に言うと、誰が、いつ、どのポリシーを変更したかを追跡するための監査です。
攻撃者は、痕跡を隠すために監査ポリシーを無効化したり、セキュリティ設定を変更することがあります。
注目すべきポイントは:
- 監査ポリシーの無効化
- イベント 4719(監査ポリシー変更)
→ ログを残さないようにする試み
- イベント 4719(監査ポリシー変更)
- ドメインポリシーの改ざん
- イベント 4739
→ パスワードポリシーやKerberos設定の変更
- イベント 4739
- オブジェクト監査設定の変更
- イベント 4907
→ 特定ファイルやADオブジェクトの監査を外す
- イベント 4907
攻撃検知には、以下の設定を行います。
| ポリシー | 設定値 | 備考 |
|---|---|---|
| 監査ポリシーの変更の監査 | 成功 (既定値:成功) | SACLの変更を含む監査ポリシーの変更を記録します。 4715: オブジェクトの監査ポリシー (SACL) が変更されました。 4719: システム監査ポリシーが変更されました。 4902: ユーザーごとの監査ポリシー テーブルが作成されました。 4904: セキュリティ イベント ソースを登録しようとしました。 4905: セキュリティ イベント ソースの登録を解除しようとしました。 4906: CrashOnAuditFail の値が変更されました。 4907: オブジェクトの監査設定が変更されました。 4908: 特殊グループのログオン テーブルが変更されました。 4912: ユーザーごとの監査ポリシーが変更されました。 |
| 認証ポリシーの変更の監査 | 成功 (既定値:成功) | 認証ポリシーの変更を記録します。 ・フォレスト間およびドメイン間の信頼の作成 ・フォレスト間およびドメイン間の信頼の変更 ・フォレスト間およびドメイン間の信頼の削除 ・コンピューターの構成\Windows の設定\セキュリティの設定\Account ポリシー\Kerberos ポリシー以下の Kerberos ポリシーの変更 ・ユーザーまたはグループへの次のユーザー権利の付与: ・ネットワーク経由でコンピューターへアクセス ・ローカル ログオンを許可する ・ターミナル サービスを使ったログオンを許可する ・バッチ ジョブとしてログオン ・サービスとしてログオン 4706: ドメインへの新しい信頼が作成されました。 4707: ドメインへの信頼が削除されました。 4713: Kerberos ポリシーが変更されました。 4716: 信頼されたドメイン情報が変更されました。 4717: アカウントにシステム セキュリティ アクセスが許可されました。 4718: システム セキュリティ アクセスがアカウントから削除されました。 4739: ドメイン ポリシーが変更されました。 4864: 名前空間の衝突が検出されました。 4865: 信頼できるフォレスト情報エントリが追加されました。 4866: 信頼されたフォレスト情報エントリが削除されました。 4867: 信頼されたフォレスト情報エントリが変更されました。 |
| 承認ポリシーの変更の監査 | 成功 (既定値:監査なし) | 承認ポリシーの変更を記録します。 トを監査できます。 ・”認証ポリシーの変更” サブカテゴリによって監査されない SeCreateTokenPrivilege などのユーザー権利 (特権) の割り当て ・”認証ポリシーの変更” サブカテゴリによって監査されない SeCreateTokenPrivilege などのユーザー権利 (特権) の削除 ・暗号化されたファイル システム (EFS) のポリシーの変更 ・オブジェクトのリソース属性に対する変更 ・オブジェクトに適用された集約型アクセス ポリシー (CAP) に対する変更 4703: ユーザー権限が調整されました。 4704: ユーザー権利が割り当てられました。 4705: ユーザー権限が削除されました。 4670: オブジェクトの権限が変更されました。 4911: オブジェクトのリソース属性が変更されました。 4913: オブジェクトの集中アクセス ポリシーが変更されました。 |
| MPSSVCルールレベルのポリシー変更の監査 | 成功、失敗 (既定値:監査なし) | Microsoft Protection Service (MPSSVC.exe) のポリシールールが変更されたときに、イベントを記録するかどうかを決定します。 ・Windows ファイアウォール サービスの開始時にアクティブなポリシーのレポート ・Windows ファイアウォールの規則の変更 ・Windows ファイアウォールの例外一覧の変更 ・Windows ファイアウォールの設定の変更 ・Windows ファイアウォールにより無視される、または適用されない規則 ・Windows ファイアウォールのグループ ポリシー設定の変更 4944: Windows ファイアウォールの起動時に次のポリシーがアクティブでした。 4945: Windows ファイアウォールの起動時にルールがリストされました。 4946: Windowsファイアウォールの例外リストに変更が加えられました。ルールが追加されました。 4947: Windowsファイアウォールの例外リストに変更が加えられました。ルールが変更されました。 4948: Windowsファイアウォールの例外リストが変更されました。ルールが削除されました。 4949: Windows ファイアウォールの設定が既定値に復元されました。 4950: Windows ファイアウォールの設定が変更されました。 4951: ルールのメジャー バージョン番号が Windows ファイアウォールによって認識されなかったため、ルールは無視されました。 4952: ルールの一部は、マイナーバージョン番号がWindowsファイアウォールで認識されなかったため無視されました。ルールの残りの部分は適用されます。 4953: ルールを解析できなかったため、Windows ファイアウォールによってルールが無視されました。 4954: Windowsファイアウォールのグループポリシー設定が変更されました。新しい設定が適用されました。 4956: Windows ファイアウォールによってアクティブ プロファイルが変更されました。 4957: Windows ファイアウォールは次の規則を適用しませんでした。 4958: このコンピューター上で構成されていない項目を参照する規則のため、Windows ファイアウォールは次の規則を適用しませんでした。 |
| その他のポリシー変更イベントの監査 | 失敗 (既定値:監査なし) | ポリシー変更カテゴリで監査されない他のセキュリティ ポリシーの変更によって生成されるイベントを記録します。 ・トラステッド プラットフォーム モジュール (TPM) 構成の変更 ・カーネルモードの暗号化セルフ テスト ・暗号化プロバイダーの操作 ・暗号化コンテキストの操作または変更 ・適用される集約型アクセス ポリシー (CAP) の変更 ・ブート構成データ (BCD) の変更 5063: 暗号化プロバイダーの操作が試行されました。 5064: 暗号化コンテキスト操作が試行されました。 5065: 暗号化コンテキストの変更が試行されました。 5066: 暗号化機能の操作が試行されました。 5067: 暗号化機能の変更が試行されました。 5068: 暗号化関数プロバイダーの操作が試行されました。 5069: 暗号化関数のプロパティ操作が試行されました。 5070: 暗号化関数のプロパティの変更が試行されました。 6145: グループ ポリシー オブジェクト内のセキュリティ ポリシーの処理中に 1 つ以上のエラーが発生しました。 |
