トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・L1 監査ポリシーの詳細な構成 のバックアップ(No.3)


Level 1 Enterprise Basic Security configuration?

[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー]

アカウントログオン

ポリシー設定ポリシー値説明
資格証明の検証の監査成功と失敗ユーザーアカウントのログオン資格情報の検証テストによって生成された監査イベント。これらの資格情報に対して権限のあるコンピューターでのみ発生します。

アカウント管理

ポリシー設定ポリシー値説明
セキュリティグループ管理の監査成功セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。
ユーザーアカウント管理の監査成功と失敗ユーザーアカウントへの変更を監査します。イベントには、ユーザーアカウントの作成、変更、削除が含まれます。アカウントの名前変更、無効化、有効化、ロックアウト、またはロック解除。ユーザーアカウントのパスワードの設定または変更。ユーザーアカウントのSID履歴にセキュリティ識別子(SID)を追加します。ディレクトリサービス復元モードのパスワードの構成。管理ユーザーアカウントのアクセス許可の変更。Credential Manager資格情報のバックアップまたは復元

詳細追跡

ポリシー設定ポリシー値説明
PNPアクティビティの監査成功プラグアンドプレイが外部デバイスを検出したときに監査する
監査プロセスの作成成功プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます

ログオン/ログオフ

ポリシー設定ポリシー値説明
アカウントロックアウトの監査失敗ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント
グループメンバーシップの監査成功ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。
監査ログオン成功と失敗コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント
他のログオン/ログオフイベントの監査成功と失敗ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス
特別なログオンの監査成功管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます)

オブジェクトアクセス

ポリシー設定ポリシー値説明
詳細なファイル共有の監査失敗共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します
監査ファイル共有成功と失敗共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。
他のオブジェクトアクセスイベントの監査成功と失敗タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント
リムーバブルストレージの監査成功と失敗監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。

ポリシー変更

ポリシー設定ポリシー値説明
監査監査ポリシーの変更成功セキュリティ監査ポリシー設定の変更を監査する
認証ポリシーの変更の監査成功認証ポリシーの変更によって生成された監査イベント
MPSSVCルールレベルポリシー変更の監査成功と失敗Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。
他のポリシー変更イベントの監査失敗トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更

特権の使用

ポリシー設定ポリシー値説明
機密特権の使用の監査成功と失敗機密特権(ユーザー権利)が使用されたときに生成される監査イベント

システム

ポリシー設定ポリシー値説明
他のシステムイベントの監査成功と失敗次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。
セキュリティ状態の変更の監査成功コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。
監査セキュリティシステム拡張成功セキュリティシステムの拡張機能またはサービスに関連する監査イベント
監査システムの整合性成功と失敗セキュリティサブシステムの整合性に違反する監査イベント