当記事ではグループポリシーの中の監査ポリシーの構成についてご紹介します。
ファイルやフォルダーの監査
特定のユーザーがフォルダーやファイルにアクセスしようとした際に、その操作履歴をイベントログとして残しておくことができます。 この機能を「監査」といい、監査機能によって記録されたログは、セキュリティインシデントが発生した際の証拠としても利用できます。
監査ポリシー
監査結果はログとして記録されますが、すべてのオブジェクトに対する監査を行うと、ログも膨大なものとなってしまい、それらすべての解析作業は管理者にとって大きな負荷となってしまいます。
従って、どのオブジェクトに対してどのような監査を行うのかといったことを、監査を実装する前に決めておく必要があります。
ドメインコントローラーの「ローカルセキュリティポリシー」には、以下のカテゴリーの監査ポリシーが用意されています。
Windows PowerShellまたはコマンドプロンプトから、以下のコマンドを使うことにより、監査ポリシーなどのセキュリティ設定状態を確認することができます。
あるフォルダーに監査を設定すると、そのフォルダー配下のサブフォルダーにも監査が継承されます。
そのため、親フォルダーの監査設定を変更すると、配下のフォルダーやファイルにも変更後の監査が適用されます。
監査ポリシーの定義
監査ポリシーは、デフォルトでは定義されていないため、策定したルールに従って監査の開始時期、イベントの成功と失敗の記録をするかどうかなどを、順に設定していきます。
また、監査を設定できるのは、NTFSでフォーマットしたボリューム上にあるファイルやフォルダーのみです。
ドメインコントローラーのローカルセキュリティを設定する場合は、「ローカルセキュリティポリシー」コンソールの他、「グループポリシー管理エディター」の「監査ポリシー」でも設定が可能です。
監査結果の表示
記録された監査結果は、「イベントビューアー」の「セキュリティ」項目で確認することができます。
ただし、ファイルやフォルダーへのアクセスログの記録を取ると膨大な量になるため、定期的にバックアップを取るなどしてディスク容量を圧迫しないように注意する必要があります。
いかがでしたでしょうか。
ぜひお勉強の際にお役立て下さい。
