2012年09月13日
Tweet
ちょっと前に「2012年06月22日:auditpol でセキュリティに出力されるイベントログを調整する」という記事を書きました。
この設定をすると、そのときはうまく行くのですが、すぐに元に戻ってしまいます。ということでその原因を探ってみました。
調べたところ、イベントログの大まかな設定は、グループポリシーの設定が優先されるようです。
そのため、手動で個別の設定を変更しても全体の設定がグループポリシーによって再適用されてしまうようでした。
# auditpol /get /category:"オブジェクト アクセス"
-----------------------------------------------
システム監査ポリシー
カテゴリ/サブカテゴリ 設定
オブジェクト アクセス
ファイル システム 成功および失敗
レジストリ 成功および失敗
カーネル オブジェクト 成功および失敗
SAM 成功および失敗
証明書サービス 成功および失敗
生成されたアプリケーション 成功および失敗
ハンドル操作 成功および失敗
ファイルの共有 成功および失敗
フィルタリング プラットフォーム パケットのドロップ 成功および失敗
フィルタリング プラットフォームの接続 成功および失敗
その他のオブジェクト アクセス イベント 成功および失敗
詳細なファイル共有 成功および失敗
-----------------------------------------------
こんな感じで出力されます。
実際にはほとんどの監査は失敗時のみで十分で、その通り設定したいと考えています。
Default Domain Controllers Policy
コンピューターの構成 - ポリシー - Windowsの設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー
から、
オブジェクトアクセスの監査を未定義に変更します。
※僕の環境ではここを失敗にすれば特に問題ありませんでした。
未定義に変更すると、上記 auditpol のコマンドの結果がすべて未定義になると思います。ここであとは必要に応じて
auditpol /set /subcategory:"[サブカテゴリ名]" /success:disable
例: auditpol /set /subcategory:"詳細なファイル共有" /success:disable
などとしてやれば、上記の例であれば詳細なファイル共有が失敗時のみ監査されるようになります。
参考
auditpolコマンドによるサブカテゴリの設定
Windows Server 2008全般フォーラム、新監査ログ出力の仕様の変更
この設定をすると、そのときはうまく行くのですが、すぐに元に戻ってしまいます。ということでその原因を探ってみました。
調べたところ、イベントログの大まかな設定は、グループポリシーの設定が優先されるようです。
そのため、手動で個別の設定を変更しても全体の設定がグループポリシーによって再適用されてしまうようでした。
# auditpol /get /category:"オブジェクト アクセス"
-----------------------------------------------
システム監査ポリシー
カテゴリ/サブカテゴリ 設定
オブジェクト アクセス
ファイル システム 成功および失敗
レジストリ 成功および失敗
カーネル オブジェクト 成功および失敗
SAM 成功および失敗
証明書サービス 成功および失敗
生成されたアプリケーション 成功および失敗
ハンドル操作 成功および失敗
ファイルの共有 成功および失敗
フィルタリング プラットフォーム パケットのドロップ 成功および失敗
フィルタリング プラットフォームの接続 成功および失敗
その他のオブジェクト アクセス イベント 成功および失敗
詳細なファイル共有 成功および失敗
-----------------------------------------------
こんな感じで出力されます。
実際にはほとんどの監査は失敗時のみで十分で、その通り設定したいと考えています。
Default Domain Controllers Policy
コンピューターの構成 - ポリシー - Windowsの設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー
から、
オブジェクトアクセスの監査を未定義に変更します。
※僕の環境ではここを失敗にすれば特に問題ありませんでした。
未定義に変更すると、上記 auditpol のコマンドの結果がすべて未定義になると思います。ここであとは必要に応じて
auditpol /set /subcategory:"[サブカテゴリ名]" /success:disable
例: auditpol /set /subcategory:"詳細なファイル共有" /success:disable
などとしてやれば、上記の例であれば詳細なファイル共有が失敗時のみ監査されるようになります。
参考
auditpolコマンドによるサブカテゴリの設定
Windows Server 2008全般フォーラム、新監査ログ出力の仕様の変更