Windows Vista および Windows Server 2008 では、監査可能イベントの数が 9 個から 53 個に増やされた。
Windows Server 2008 R2 および Windows 7 では、すべての監査機能がグループ ポリシーに統合されている。取得する監査ログを絞るにはauditpolコマンドでサブカテゴリのログ調整の設定をする。
(質問)
auditpolコマンドによるサブカテゴリの設定
お世話になっております。
監査ポリシーの設定にて、auditpolコマンドによるサブカテゴリの設定についてご質問させてください。
------------------------------------------------------------------------------------------------
行いたいこと
グループポリシーの監査ポリシーで設定したカテゴリの中にある、指定したサブカテゴリのみのログを取得したい。
現在の状況
・グループポリシー(Default Domain Controllers Porlicy)にて、
オブジェクトアクセスの監査のポリシーを定義(成功のみ)し、イベントログをとりたいのですが、コマンドプロンプトよりauditpolコマンドにてサブカテゴリの設定が出来ることを知りました。
通常ですと、グループポリシーでセットしたカテゴリ(ここでは[オブジェクト アクセス])以下のサブカテゴリはすべてグループポリシーどおり(ここではすべて[成功])の設定になっています。(コマンドプロンプトより[auditpol /get /category:"オブジェクト アクセス"]コマンドにて設定確認)
・グループポリシーの設定後、下記手順にてサブカテゴリの設定を行いました。
1.コマンドプロンプトより、[auditpol /set /subcategory:"[サブカテゴリ名]" /success:disable]を入力し、
一度サブカテゴリをすべて[監査なし]の設定にします。
2.[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し、
オブジェクトアクセスカテゴリ内の[フィルタリング プラットフォームの接続]のみ[成功]の設定へ変更しました。
3.オブジェクトアクセスカテゴリ内の設定を確認するため、[auditpol /get /category:"オブジェクト アクセス"]にて、サブディレクトリの設定内容を確認しました。(ここではサブカテゴリ[フィルタリング プラットフォームの接続]のみ[成功]で後は[監査なし]となっていました。)
・上記確認後、イベントビューアを起動し、[Windows ログ]-[セキュリティ]より、監査ポリシーのログを確認しているのですが、
時間がたつと、ポリシーの変更の監査ログを取得し、[オブジェクト アクセス]カテゴリの設定がすべて、[成功]となっている。
------------------------------------------------------------------------------------------------
質問
・イベントログにて、想定したサブカテゴリのみのログを取得することは可能でしょうか?
・自動でサブカテゴリが変更してしまうのはなぜでしょうか?(ポリシーの変更をさせないことは出来る?)
サブカテゴリの設定後、イベントログにて、ポリシーの変更の監査ログを取得するまでは、現状、設定したサブカテゴリのログのみ取得している状態なので、想定したサブカテゴリのログを残すことは出来そうなのですが、サブカテゴリを自動で変更してしまうところで、行き詰ってしまいました。
申し訳ありませんが、ご教授のほどよろしくお願い致します。
(回答)
○○です
グループポリシーでの監査の設定はサブカテゴリすべての設定となります。
よってGPOによる監査設定はやめてコンピューター上でauditpolを実行してみてください。
(返信)
○○様返信ありがとうございます。
下記の手順にて確認してみたところ、サブカテゴリの設定の自動での変更は行われないことを確認できました。
------------------------------------------------------------------------------------------------
手順
・グループポリシー(Default Domain Controllers Porlicy)の[監査ポリシー]の部分をすべて未定義にした。
・コマンドプロンプトにて、[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し[成功]の設定をした。
・一定時間放置後、[auditpol /get /category:"オブジェクト アクセス"]を行った際、サブカテゴリの[フィルタリング プラットフォームの接続]のみが[成功]となっていることを確認。
------------------------------------------------------------------------------------------------
GPOを設定後にサブカテゴリを変更しても、GPOの設定により一定の間隔ですべてのサブカテゴリを書き換えてしまっているみたいですね。勉強になりました。
○○様様回答ありがとうございました。
--------------------------------------
(MSページ)
Windows のセキュリティ監査の新機能
http://technet.microsoft.com/ja-jp/library/dd560628(v=ws.10).aspx
Windows Vista と Windows Server 2008 のセキュリティ イベントの説明
http://support.microsoft.com/kb/947226/ja
2008:auditpol で使用可能な subcategory の一覧を取得する
http://blogs.technet.com/b/junichia/archive/2007/09/29/2008-auditpol-subcategory.aspx
(関連投稿)
”オブジェクトアクセスの監査”で出力されるセキュリティログを絞りたい
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/7cd374ee-277c-47de-b29e-b80fa7b01fcb
マイクロソフトサーバー製品のログ監査ガイド(対象:Winsows 2000 Server,Windows Server 2003)
http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285678.aspx
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/c7831110-3b74-4898-bb29-a7a07f91502b/
[0回]
PR
