LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@hod_s

Windowsの監査ポリシー設定でハマった話

Last updated at Posted at 2024-09-24

<環境>Windows10,11

監視対象のリソースに対する操作を記録・検知するための監査ポリシー設定で
思わぬ罠にハマってしまったのでここに共有します。

監査ポリシー設定は簡単に説明すると、以下の画面のwindowsログ配下の項目内で
確認できる項目を色々設定できるよ、というものです。

WIndowsログ2.png

デフォルトで既にログは出力されていますが、
この画面でなるべく多くの情報を取れるようにしたいというところから
出力されるログの種類を増やす目的でスタートしました。

この設定を変更する手段は、

【1】コマンドプロンプトでコマンドの投入
【2】エディターで操作

の2種類が用意されているようです。

そこで、まずは視覚的に分かりやすい方法から行うのが個人的な鉄則であったので
2番目の方法を選択しました。

これは以下のローカルグループポリシーエディタで行え、大雑把に大項目ごと設定する方法と細かく小項目ごとに設定する方法があります。

大項目(監査ポリシー構成)

大項目.JPG

大項目の設定.JPG
※上図の場合、ログオンに成功、失敗した場合にログ出力をするように設定できます

小項目(監査ポリシーの詳細な構成)

小項目.JPG

小項目の設定.JPG

エディター上では全ての項目で監査しない設定になっていましたが、
今回全ての項目で成功、失敗のログを取得するように設定し、
結果を見ながら必要ないものを削っていく進め方を選択しました。
その結果出力ログが膨大になってしまい、ログがメモリに展開される仕様でメモリリークが発生...

そのため、一旦全ての監査ポリシー設定を元の監査しない状態に戻したところ、
設定前に出力されていたログまで出力されない状態になってしまいました。

どうやらエディター上で見えているものとは別の設定が内部に存在していた、
かつその設定が優先されていた模様。
紆余曲折あり、エディター上で見えないデフォルト設定が判明したため、
コマンドプロンプトから以下の設定を投入。

設定投入.txt
監査ポリシー デフォルト
 
auditpol /set /subcategory:"" /success:enable /failure:enable
 
auditpol /set /subcategory:"システムの整合性" /success:enable /failure:enable
 
auditpol /set /subcategory:"その他のシステム イベント" /success:enable /failure:enable
 
auditpol /set /subcategory:"セキュリティ状態の変更" /success:enable
 
auditpol /set /subcategory:"ログオン" /success:enable /failure:enable
 
auditpol /set /subcategory:"ログオフ" /success:enable
 
auditpol /set /subcategory:"アカウント ロックアウト" /success:enable
 
auditpol /set /subcategory:"特殊なログオン" /success:enable
 
auditpol /set /subcategory:"ネットワーク ポリシー サーバー" /success:enable /failure:enable
 
auditpol /set /subcategory:"ポリシーの変更の監査" /success:enable
 
auditpol /set /subcategory:"ポリシーの変更の認証" /success:enable
 
auditpol /set /subcategory:"コンピューター アカウント管理" /success:enable
 
auditpol /set /subcategory:"セキュリティ グループ管理" /success:enable
 
auditpol /set /subcategory:"ユーザー アカウント管理" /success:enable
 
auditpol /set /subcategory:"ディレクトリ サービス アクセス" /success:enable
 
auditpol /set /subcategory:"Kerberos サービス チケット操作" /success:enable
 
auditpol /set /subcategory:"Kerberos 認証サービス" /success:enable
 
auditpol /set /subcategory:"資格情報の確認" /success:enable

上記コマンド投入後に正常にログが出力されることが確認できました。
エディター側を見にいくと、全ての項目で監査しない設定になっていたため、
エディターではエディターを使用して設定した内容しか反映されないようです。

監査ログ設定を行う際はコマンドプロンプトにて以下コマンドを実行し、
デフォルト設定を抜き出した上で変更を行うのが安全です!

設定確認.txt
auditpol /get /category:"*"

以上、お読みいただきありがとうございました。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?