[HOW TO] Windows セキュリティ監査を有効にして適用する方法

文書翻訳 文書翻訳
文書番号: 300549 - 対象製品
この記事は、以前は次の ID で公開されていました: JP300549
すべて展開する | すべて折りたたむ

目次

概要

このステップ バイ ステップ ガイドでは、Windows セキュリティ監査を有効にして適用する方法を説明します。

Windows セキュリティ監査を有効にする

情報およびサービス リソースの管理において重要となるのは、アクセスを許可するべきでないユーザーからそれらのリソースを保護すると同時に、承認されているユーザーからは利用できるようにすることです。この資料では、Windows 2000 のセキュリティ機能を利用して、リソースへのアクセスを監査する方法を説明します。

セキュリティ ログを構成すると、ディレクトリおよびファイルへのアクセスやサーバー イベントに関する情報を記録できるようになります。この監査のレベルは、Microsoft 管理コンソール (MMC) スナップインに表示される [監査ポリシー] によって設定できます。これらのイベントは、Windows のセキュリティ ログに記録されます。セキュリティ ログには、有効なログオンや無効なログオンのようなセキュリティ イベントのほか、ファイルの作成、オープン、削除といったリソースの使用に関するイベントを記録することが可能です。監査するイベントやセキュリティ ログに記録されるイベントを制御するには、管理者としてログオンする必要があります。

重要 : Windows 2000 でファイルやフォルダへのアクセスを監査できるようにするためには、グループ ポリシー スナップインを使用して、[監査ポリシー] の [オブジェクト アクセスの監査] の設定を有効にしておく必要があります。この設定が有効になっていない場合、ファイルやフォルダの監査を設定したときにエラー メッセージが表示され、どのファイルもフォルダも監査されません。グループ ポリシーで監査を有効にしたら、イベント ビューアでセキュリティ ログを表示して、監査されているファイルやフォルダへのアクセスの成功または失敗を確認します。

Windows でローカル セキュリティの監査を有効にするには、次の手順を実行します。
  1. 管理者権限のあるアカウントで Windows 2000 にログオンします。監査を設定する権利をほかのユーザーに与えるには、この資料の「関連情報」の「別のアカウントで監査を構成できるようにする方法」を参照してください。
  2. グループ ポリシー スナップインがインストールされているかどうか確認します。インストールされていない場合は、この資料の「関連情報」の「グループ ポリシー スナップインをインストールする方法」に記載されている手順を実行します。
  3. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  4. [管理ツール] をダブルクリックします。
  5. [ローカル セキュリティ ポリシー] をダブルクリックし、ローカル セキュリティ設定 MMC スナップインを開きます。
  6. [ローカル ポリシー] をダブルクリックして展開し、[監査ポリシー] をダブルクリックします。
  7. 右ペインで、有効または無効にするポリシーをダブルクリックします。
  8. ログオンとログオフについて、[成功] (成功したセキュリティ アクセスを監査する) または [失敗] (失敗したセキュリティ アクセスを失敗する) チェック ボックスをクリックします。たとえばこの設定では、ユーザーが正常にシステムにログオンすると、それが成功の監査イベントとして記録されます。ユーザーがネットワーク ドライブへのアクセスを試みて失敗した場合は、失敗の監査イベントとして記録されます。
  9. Internet Information Services (IIS) 5.0 を実行中の Web サーバーで監査を設定する場合は、この資料の「関連情報」の「Windows 2000 IIS 5.0 Web サーバーにおける推奨事項」で提案されている監査の一覧を参照してください。
: ドメインのメンバでは、ドメイン レベルのポリシーが定義されていると、ローカル ポリシー設定がドメイン レベルの設定で上書きされます。

Active Directory が有効になっている場合は、Active Directory へのアクセスも監査できます。成功および失敗した監査は、ディレクトリ サービス イベント ログに記録されます。このイベント ログは、Windows 2000 ドメイン コントローラにのみ存在するものです。

Active Directory の監査を有効にするには、以下の手順を実行します。
  1. 管理者権限のあるアカウントで Windows 2000 にログオンします。監査を設定する権限をほかのユーザーに与えるには、後述の「関連情報」を参照してください。
  2. グループ ポリシー スナップインがインストールされているかどうか確認します。インストールされていない場合は、後述の手順に従ってインストールしてください。
  3. [スタート] ボタンをクリックし、[プログラム] をポイントし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピュータ] スナップインを開きます。
  4. [表示] メニューの [拡張機能] をクリックします。
  5. [Domain Controllers] コンテナを右クリックし、[プロパティ] をクリックします。
  6. [グループ ポリシー] タブをクリックします。
  7. [Default Domain Controller Policy] をクリックし、[編集] をクリックします。
  8. [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[監査ポリシー] の順にダブルクリックし、各項目を開きます。
  9. 右ペインの [ディレクトリ サービスのアクセスの監査] を開きます。
  10. 必要に応じて [成功]、[失敗]、またはその両方のオプションをクリックします。
  11. IIS 5.0 Web サーバーで監査を設定する場合は、この資料の「関連情報」の「Windows 2000 IIS 5.0 Web サーバーにおける推奨事項」で提案されている監査の一覧を参照してください。
: Windows 2000 では、ドメイン コントローラはポリシーの変更を 5 分ごとにポーリングします。エンタプライズのその他のドメイン コントローラは、この間隔および複製時刻に変更を受け取ります。

: [監査エントリ] ダイアログ ボックスの [アクセス] 以下のチェック ボックスが淡色表示されたり、[アクセス制御の設定] ダイアログ ボックスの [削除] ボタンが使用不可能になっている場合は、親フォルダから監査が継承されています。セキュリティ ログのサイズには制限があるので、監査するファイルやフォルダを選択するときは注意が必要です。セキュリティ ログの保存先となるディスク領域の容量も考慮に入れてください。最大サイズはイベント ビューアで定義されます。

Windows 2000 Server でイベントを監査する

2.1 Windows のファイルまたはフォルダの監査を設定、確認、変更、削除する

監査をセットアップすることにより、ユーザーが機密ファイルまたは機密フォルダにアクセスしたときのような、セキュリティ関連のイベントを検出して記録することも可能になります。オブジェクトを監査しているときは、そのオブジェクトへ特定の方法でアクセスするたびに、Windows 2000 セキュリティ ログにエントリが書き込まれます。監査の設定時には、どのオブジェクトを監査するか、誰の操作を監査するか、どの種類の操作を監査するかを決定します。監査をセットアップ後、特定のオブジェクトにアクセスしたユーザーの追跡、またはセキュリティ違反の分析を行うことができます。監査の結果には、操作を実行したユーザーと、操作を試行したにもかかわらず許可されなかったユーザーが示されます。

監査をセットアップするには、次の手順を実行します。
  1. エクスプローラを起動して ([スタート] ボタンをクリックし、[プログラム] をポイントし、[アクセサリ] をポイントして、[エクスプローラ] をクリックする)、監査するファイルまたはフォルダを参照します。
  2. 目的のファイルまたはフォルダを右クリックし、[プロパティ] をクリックして、[セキュリティ] タブをクリックします。
  3. [詳細] をクリックし、[監査] タブをクリックします。
  4. 必要に応じて次のいずれかを実行します。
    1. 新しいグループまたはユーザーに対する監査をセットアップするには、次の手順を実行します。
      1. [追加] をクリックします。監査するユーザーの名前を [名前] ボックスに入力します。
      2. [OK] をクリックすると、自動的に [監査エントリ] ダイアログ ボックスが表示されます。
    2. 既存のグループやユーザーに対する監査を確認または変更するには、目的の名前をクリックし、[表示/編集] をクリックします。
    3. 既存のグループやユーザーに対する監査を削除するには、目的の名前をクリックし、[削除] をクリックします。
  5. [アクセス] ボックスの一覧で、監査するアクセスの種類に応じて [成功]、[失敗]、または [成功] と [失敗] の両方をクリックします。
  6. ツリーに含まれるファイルやフォルダがこれらの監査エントリを継承しないようにするには、[これらの監査エントリを、このコンテナの中にあるオブジェクトやコンテナにのみ適用する] をクリックしてオンにします。

2.2 監査を使用して承認されていないアクセスを検出する

Windows セキュリティ ログでは、承認されていないアクセスを検出することができます。このようなアクセスは、警告またはエラー ログ エントリとして表示されます。これらのログは、後で使用できるようにアーカイブすることもできます。

Windows セキュリティ ログを確認して潜在的なセキュリティの問題を検出するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  2. [管理ツール] をダブルクリックし、[コンピュータの管理] をダブルクリックします。
  3. [システム ツール] を展開し、[イベント ビューア] を展開します。
  4. [セキュリティ ログ] をクリックします。

    : セキュリティ ログを表示できない場合は、使用中のユーザー アカウントが必要な特権を持っていない可能性があります。この問題は、ローカル コンピュータ レベルのセキュリティ ポリシーがドメイン レベルのセキュリティ ポリシーで上書きされた場合に発生します。つまり、ローカル コンピュータの管理者としてログオンできても、コンピュータのセキュリティ ログへのアクセスは与えられないということです。必要なアクセス許可を取得するには、ネットワーク管理者に連絡してください。セキュリティ ポリシーの詳細については、Windows のマニュアルを参照してください。
  5. ログを調査して、疑わしいセキュリティ イベントがないかどうか確認します。注意すべきイベントとして、次のようなものがあります。
    • ログオンの失敗
    • 特権使用の失敗
    • .bat または .cmd ファイルに対するアクセスおよび変更の失敗
    • セキュリティ特権または監査ログに対する変更の失敗
    • サーバーをシャットダウンする試み

Windows セキュリティ ログを使用する

3.1 Windows セキュリティ ログをアーカイブする方法

Windows セキュリティ ログをアーカイブするには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  2. [管理ツール] をダブルクリックし、[コンピュータの管理] をダブルクリックします。
  3. [システム ツール] を展開し、[イベント ビューア] を展開します。
  4. [セキュリティ] をクリックします。
  5. [操作] メニューの [ログ ファイルの名前を付けて保存] をクリックします。
  6. [名前を付けて保存] ダイアログ ボックスで、ファイルの保存先となるディレクトリをクリックし、ファイル名を入力します。
: セキュリティ ログは、イベント (.evt) ファイル、テキスト (.txt) ファイル、またはカンマ区切り (.csv) ファイルとして保存できます。

3.2 アーカイブされた Windows セキュリティ ログを開く方法

アーカイブされた Windows セキュリティ ログを開くには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[設定] をポイントして、[コントロール パネル] をクリックします。
  2. [管理ツール] をダブルクリックし、[コンピュータの管理] をダブルクリックします。
  3. [システム ツール] を展開し、[イベント ビューア] を展開します。
  4. [セキュリティ ログ] をクリックします。
  5. [操作] メニューの [ログ ファイルを開く] をクリックします。
  6. [ファイルを開く] ダイアログ ボックスで、以前に保存したログ ファイルをクリックするか、または [ファイルの場所] ボックスの一覧を変更して目的のファイルを参照します。
  7. [ログの種類] ボックスの一覧で [セキュリティ] をクリックします。
  8. [OK] をクリックすると、選択したファイルがビューアで開かれます。

注意点

セキュリティ ログのサイズには制限があるので、監査するファイルやフォルダを選択するときは注意が必要です。セキュリティ ログの保存先となるディスク領域の容量も考慮に入れてください。最大サイズはイベント ビューアで定義されます。

重要 : Windows 2000 でファイルやフォルダへのアクセスを監査できるようにするためには、グループ ポリシー スナップインを使用して、[監査ポリシー] の [オブジェクト アクセスの監査] の設定を有効にしておく必要があります。この設定が有効になっていなければ、ファイルやフォルダの監査を設定したときにエラー メッセージが表示され、どのファイルもフォルダも監査されません。グループ ポリシーで監査を有効にしたら、イベント ビューアでセキュリティ ログを表示して、監査されているファイルやフォルダへのアクセスの成功または失敗を確認します。

関連情報

グループ ポリシー スナップインをインストールする方法

この資料に説明されている監査機能を使用するには、グループ ポリシー スナップインをインストールする必要があります。このスナップインはコンピュータの管理コンソールに含まれていないため、グループ ポリシー スナップイン用に新しいコンソールを作成しなければなりません。MMC スナップインを追加する方法の詳細については、Windows 2000 のマニュアルを参照してください。

新しい MMC コンソールを作成し、グループ ポリシー スナップインを追加するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[ファイル名を指定して実行] ダイアログ ボックスに mmc と入力し、新しい MMC コンソールを開きます。
  2. [コンソール] メニューの [スナップインの追加と削除] をクリックします。
  3. [スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。
  4. [スタンドアロン スナップインの追加] ダイアログ ボックスで、[利用できるスタンドアロン スナップイン] ボックスの一覧から [グループ ポリシー] をクリックします。[追加] をクリックします。
  5. [グループ ポリシー オブジェクトの選択] ダイアログ ボックスで、ローカル コンピュータを監査する場合は [完了] をクリックし、監査するコンピュータを選択する場合は [参照] をクリックします。
  6. [参照] をクリックした場合は手順 7. へ進みます。[完了] をクリックした場合は手順 9. へ進みます。
  7. [グループ ポリシー オブジェクトの参照] ダイアログ ボックスの [コンピュータ] タブをクリックし、[別のコンピュータ] をクリックし、監査するコンピュータを参照して、[OK] をクリックします。
  8. [グループ ポリシー オブジェクトの選択] ダイアログ ボックスの [完了] をクリックします。
  9. [スタンドアロン スナップインの追加] ダイアログ ボックスを閉じます。
  10. [OK] をクリックします。
  11. [コンソール] メニューの [上書き保存] をクリックし、この新しいコンソールをハード ディスクに保存します。今後このコンソールを使用して監査機能を構成することになります。

別のアカウントで監査を構成できるようにする方法

デフォルトでは、Administrators グループのメンバにのみ監査を構成する特権が与えられます。ただし、グループ ポリシーを利用して別のユーザー アカウントに [監査とセキュリティ ログの管理] 権利を与えれば、そのユーザーにサーバー イベントの監査の構成タスクを委任できます。

別のアカウントで監査を構成できるようにするには、次の手順を実行します。
  1. 作成したグループ ポリシー コンソールを開き、次の順番でツリー項目を展開します。
    1. コンピュータの構成
    2. Windows の設定
    3. セキュリティの設定
    4. ローカル ポリシー
    5. ユーザー権利の割り当て
  2. [監査とセキュリティ ログの管理] をクリックし、[操作] をクリックして、[セキュリティ] をクリックします。
  3. [監査とセキュリティ ログの管理] ダイアログ ボックスで [追加] をクリックします。

    : [追加] ボタンを利用できない (淡色表示になっている) 場合は、[ローカル ポリシーから除外する] チェック ボックスをオフにすると、[追加] ボタンがアクティブになります。
  4. 一覧から適切なユーザーまたはユーザー グループをクリックし、[追加] をクリックします。[OK] をクリックします。

Windows 2000 IIS 5.0 Web サーバーにおける推奨事項

Windows 2000 Server ベースのコンピュータで IIS 5.0 を実行している場合は、以下の Windows イベントを利用して監査することをお勧めします。"成功の監査" は、各イベントが実行されたときに成功したイベントを記録するべきかどうかを示し、"失敗の監査" は失敗を記録するべきかどうかを示します。"オン" は、そのイベントを監査するべきであるということです。これに対して "オフ" は、そのイベントを監査する必要がないことを示します。

以下の一覧は、IIS Web サーバーとして動作する Windows 2000 ベースのコンピュータを対象に、各イベントに対する監査の構成方法を提案したものです。
  • アカウント ログオン
    成功の監査 : オン

    失敗の監査 : オン
  • アカウント管理
    成功の監査 : オフ

    失敗の監査 : オン
  • ディレクトリ サービスのアクセス
    成功の監査 : オフ

    失敗の監査 : オン
  • ログオン
    成功の監査 : オン

    失敗の監査 : オン
  • オブジェクト アクセス
    成功の監査 : オフ

    失敗の監査 : オフ
  • ポリシーの変更
    成功の監査 : オン

    失敗の監査 : オン
  • 特権使用
    成功の監査 : オフ

    失敗の監査 : オン
  • プロセス追跡
    成功の監査 : オフ

    失敗の監査 : オフ
  • システム
    成功の監査 : オフ

    失敗の監査 : オフ

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 300549 (最終更新日 2001-07-30) をもとに作成したものです。

プロパティ

文書番号: 300549 - 最終更新日: 2004年5月17日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbhowtomaster kbperformance w2000iis jptrf KB300549
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com