はじめに
Active Directory に対する攻撃や侵害の兆候を把握するために、監査ポリシーを設定することを検討されている方や、MDI を利用するにあたって、監査設定の見直しを行われている組織が増えていると思います。
本記事では、Active Directory における監査設定についての注意点について紹介します。
本記事では監査設定の詳細や推奨事項については触れませんが、詳細はこちらにまとめられていますので、必要に応じてご確認ください。
監査設定方法についてのおさらい
まずはじめに、Windows OS に対する監査設定の方法についておさらいします。
Windows OS に対して監査設定を実施する場合、主に以下の 3 つの方法があります。
- [監査ポリシー] を利用する
- [監査ポリシーの詳細な構成] を利用する
- auditpol コマンドを利用する
グループ ポリシーの機能を利用して監査を設定する場合、[監査ポリシー] と [監査ポリシーの詳細な構成] の 2 つの箇所から設定することができます。
そのため、複数のコンピューターに対して同じ監査を設定する場合には、これ等のポリシーをドメインのグループ ポリシーで設定する方法が考えられます。
また、グループ ポリシーを利用しない場合には auditpol /set コマンドで直接監査を設定することが可能です。
[監査ポリシー] と [監査ポリシーの詳細な構成] の違いについて
[監査ポリシー] については監査のカテゴリ単位で設定ができますが、[監査ポリシーの詳細な構成] では、さらに細分化されたサブカテゴリ単位での設定ができるという違いがあります。
[監査ポリシー] はカテゴリ単位での制御となりますので、設定対象によっては、不用意に監査イベントが増え、多くのセキュリティ イベント ログが記録されてしまい、リソースを圧迫させる恐れがあります。
そのような場合には、[監査ポリシーの詳細な構成] にてサブカテゴリ単位での監査設定を検討する必要があります。
参考として、Active Directory のドメインのグループ ポリシーにおける設定画面を添付しますが、このように [監査ポリシーの詳細な構成] を利用すると、より細かく監査設定を行うことができます。
[監査 ポリシー] の画面
以下のように、各カテゴリ単位での監査設定が可能です。
[監査ポリシーの詳細な構成] の画面
以下のように、各カテゴリのサブカテゴリ単位での監査設定が可能です。
監査設定の注意点について
ここからが本題です。
前述のとおり、グループ ポリシーにて、[監査ポリシー] と [監査ポリシーの詳細な構成] の 2 つの箇所から監査設定することができますが、これ等のポリシーは併用することができません。
具体的には、[監査ポリシー] で "アカウント ログオン イベントの監査" を設定している状況において、追加で [監査ポリシーの詳細な構成] で "アカウントの管理の監査" のみを設定した場合、
双方のポリシーが適用されたコンピューターに対しては、[監査ポリシーの詳細な構成] で設定した監査だけが有効になり、それ以外の [監査ポリシー] で設定していた監査や既定で設定されていた監査がすべて無効となります。
そのため、この動作を踏まえ、現在設定されている監査を維持しながら、追加で詳細の監査を設定する手順について、ご紹介いたします。
現在設定されている監査を維持しながら、追加で詳細の監査を設定する手順
こちらに記載のとおり設定を行うことにより、これまで対象のコンピューターに適用されていた監査設定を維持しながら、追加で詳細の監査設定を追加することができます。
手順
- コンピューターに適用されている監査設定を
auditpol /get /category:*コマンドの結果から確認する - コマンドの実行結果に出力された設定を [監査ポリシーの詳細な構成] でも同じように設定する
- [監査ポリシーの詳細な構成] にて、追加で設定したい監査を設定する
-
auditpol /get /category:*コマンドの結果から、意図した監査が設定されているか確認する
まとめ
Windows サポートにも監査設定の変更にまつわるお問い合わせをいただくことがございますので、監査設定の見直しを進められる際、こちらの情報がお役に立てれば幸いです。
ドメイン環境に対する変更は、適用対象が多い場合、影響度の大きい変更となりますので、予め検証環境などで十分動作確認を実施された上で、本番環境への適用をご検討ください。