Level 1 Enterprise Basic Security configuration?
[コンピュータの構成]>[ポリシー]>[Windows の設定]>[監査ポリシーの詳細な構成]>[監査ポリシー] †
アカウントログオン †
| ポリシー設定 | ポリシー値 | 説明 |
| 資格情報の確認の監査 | 成功と失敗 | ユーザーアカウントのログオン資格情報の検証テストによって生成された監査イベント。これらの資格情報に対して権限のあるコンピューターでのみ発生します。 |
アカウント管理 †
| ポリシー設定 | ポリシー値 | 説明 |
| セキュリティ グループの管理の監査 | 成功 | セキュリティグループの作成、変更、削除、メンバーの追加または削除、グループタイプの変更など、セキュリティグループの変更によって生成されるイベントを監査します。 |
| ユーザー アカウントの管理の監査 | 成功と失敗 | ユーザーアカウントへの変更を監査します。イベントには、ユーザーアカウントの作成、変更、削除が含まれます。アカウントの名前変更、無効化、有効化、ロックアウト、またはロック解除。ユーザーアカウントのパスワードの設定または変更。ユーザーアカウントのSID履歴にセキュリティ識別子(SID)を追加します。ディレクトリサービス復元モードのパスワードの構成。管理ユーザーアカウントのアクセス許可の変更。Credential Manager資格情報のバックアップまたは復元 |
詳細追跡 †
| ポリシー設定 | ポリシー値 | 説明 |
| PNP アクティビティの監査 | 成功 | プラグアンドプレイが外部デバイスを検出したときに監査する |
| プロセス作成の監査 | 成功 | プロセスの作成時または開始時に生成される監査イベント。プロセスを作成したアプリケーションまたはユーザーの名前も監査されます |
ログオン/ログオフ †
| ポリシー設定 | ポリシー値 | 説明 |
| アカウントロックアウトの監査 | 失敗 | ロックアウトされたアカウントへのログオン試行の失敗により生成された監査イベント |
| グループメンバーシップの監査 | 成功 | ユーザーのログオントークンのグループメンバーシップ情報を監査します。このサブカテゴリのイベントは、ログオンセッションが作成されたコンピューターで生成されます。対話型ログオンの場合、ユーザーがログオンしたコンピューターでセキュリティ監査イベントが生成されます。ネットワーク上の共有フォルダーへのアクセスなどのネットワークログオンの場合、リソースをホストしているコンピューターでセキュリティ監査イベントが生成されます。 |
| ログオンの監査 | 成功と失敗 | コンピューターでのユーザーアカウントのログオン試行によって生成された監査イベント |
| その他のログオン/ログオフ イベントの監査 | 成功と失敗 | ターミナルサービスセッションの切断、ワークステーションのロックとロック解除、スクリーンセーバーの呼び出しまたは終了、Kerberosの検出など、「ログオン/ログオフ」ポリシー設定に含まれない他のログオン/ログオフ関連イベントを監査するリプレイ攻撃、またはユーザーまたはコンピューターアカウントに付与されたワイヤレスネットワークへのアクセス |
| 特殊なログオンの監査 | 成功 | 管理者と同等の特権を持ち、プロセスをより高いレベルに昇格するために使用できるログオンである特別なログオンの使用や、特別なグループのメンバーによるログオンなど、特別なログオンによって生成されたイベントを監査するグループを使用すると、特定のグループのメンバーがネットワークにログオンしたときに生成されたイベントを監査できます) |
オブジェクトアクセス †
| ポリシー設定 | ポリシー値 | 説明 |
| 詳細なファイル共有の監査 | 失敗 | 共有フォルダー上のファイルおよびフォルダーへのアクセス試行を監査します。詳細なファイル共有設定は、ファイルまたはフォルダーにアクセスするたびにイベントを記録します |
| ファイル共有の監査 | 成功と失敗 | 共有フォルダーへのアクセス試行を監査します。共有フォルダーにアクセスしようとすると、監査イベントが生成されます。 |
| その他のオブジェクト アクセス イベントの監査 | 成功と失敗 | タスクスケジューラジョブまたはCOM +オブジェクトの管理によって生成された監査イベント |
| リムーバブル記憶域の監査 | 成功と失敗 | 監査ユーザーは、リムーバブルストレージデバイス上のファイルシステムオブジェクトにアクセスしようとします。セキュリティ監査イベントは、要求されたすべてのタイプのアクセスのすべてのオブジェクトに対してのみ生成されます。 |
ポリシー変更 †
| ポリシー設定 | ポリシー値 | 説明 |
| 監査ポリシーの変更の監査 | 成功 | セキュリティ監査ポリシー設定の変更を監査する |
| 認証ポリシーの変更の監査 | 成功 | 認証ポリシーの変更によって生成された監査イベント |
| MPSSVCルールレベル ポリシー変更の監査 | 成功と失敗 | Microsoft Protection Service(MPSSVC)によって使用されるポリシールールの変更によって生成されたイベントを監査します。このサービスは、Windowsファイアウォールによって使用されます。 |
| その他のポリシー変更イベントの監査 | 失敗 | トラステッドプラットフォームモジュール(TPM)構成の変更、カーネルモード暗号化自己テスト、暗号化プロバイダー操作、暗号化コンテキスト操作または変更、適用された中央アクセスポリシーなど、ポリシー変更カテゴリで監査されないその他のセキュリティポリシー変更によって生成された監査イベント(CAP)の変更、またはブート構成データ(BCD)の変更 |
特権の使用 †
| ポリシー設定 | ポリシー値 | 説明 |
| ・重要な特権の使用の監査 | 成功と失敗 | 機密特権(ユーザー権利)が使用されたときに生成される監査イベント。オペレーティング システムの一部として機能。 |
システム †
| ポリシー設定 | ポリシー値 | 説明 |
| その他のシステムイベントの監査 | 成功と失敗 | 次のイベントのいずれかを監査します。Windowsファイアウォールサービスとドライバーの起動とシャットダウン、Windowsファイアウォールサービスによるセキュリティポリシーの処理、暗号化キーファイル、および移行操作。 |
| セキュリティ状態の変更の監査 | 成功 | コンピューターの起動およびシャットダウン、システム時間の変更、CrashOnAuditFailからのシステムの回復など、コンピューターのセキュリティ状態の変化によって生成された監査イベント。エントリが構成されます。 |
| セキュリティシステムの拡張の監査 | 成功 | セキュリティシステムの拡張機能またはサービスに関連する監査イベント |
| システムの整合性の監査 | 成功と失敗 | セキュリティサブシステムの整合性に違反する監査イベント |
