イベント ID 560 およびイベント ID 562 がセキュリティ イベント ログに何度も記録される

文書翻訳 文書翻訳
文書番号: 841001 - 対象製品
すべて展開する | すべて折りたたむ

目次

現象

オブジェクトへのアクセスを監査するようにグループ ポリシーまたはローカル セキュリティ ポリシーを構成した後、セキュリティ イベント ログに以下のようなイベントが複数記録されます。

ソース : Security
分類 : オブジェクト アクセス
イベント ID : 560
日付 : date
時刻 : time
種類 : 成功の監査
ユーザー : EXAMPLE\username
コンピュータ : computer_name
説明 :
オブジェクトのオープン:
オブジェクト サーバー: Security
オブジェクトの種類: Object_Type
オブジェクト名: Object_Name
新しいハンドル ID: 104
操作 ID: {0,252360}
プロセス ID: 1156
プライマリ ユーザー名: username
プライマリ ドメイン: EXAMPLE
プライマリ ログオン ID: (logon_ID)
クライアント ユーザー名:
クライアント ドメイン:
クライアント ログオン ID:
アクセス
<アクセスの一覧>
特権

ソース : Security
分類 : オブジェクト アクセス
イベント ID : 562
日付 : date
時刻 : time
種類 : 成功の監査
ユーザー : EXAMPLE\username
コンピュータ : computer_name
説明 :
ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 104
プロセス ID: 1156


これらのイベントは、監査対象のオブジェクトに対してセキュリティ アクセス制御リスト (SACL) を構成していない場合に記録されます。また、SACL を構成していても、一覧に含まれているすべてのアクセスが対象になっていない場合にも、これらのイベントが記録されます。たとえば、ユーザーまたはプログラムがレジストリ サブキーを読み取る場合に、そのレジストリ サブキーの監査エントリで [読み取り制御] または [値の照会] チェック ボックスがオンになっていない場合に、これらのイベントが出力されます。

: 監査の構成方法の詳細については、「詳細」を参照してください。

原因

この問題は、次のいずれかの条件に該当する場合に発生することがあります。
  • ローカル セキュリティ ポリシーの設定で "グローバル システム オブジェクトへのアクセスを監査する" を有効にしています。 この設定を有効にしている場合、多くの監査イベントが生成されます。生成されるのは通常、ソースが Security で、イベント ID 560 のイベントです。オブジェクトの種類は、Event、Mutant、Process、Section、Semaphore、Thread、Token のいずれかです。これらのイベントは、システム開発者にのみ役立ちます。通常は、"グローバル システム オブジェクトへのアクセスを監査する" ローカル セキュリティ ポリシーは有効にしません。
  • ドメイン コントローラで監査を有効にしています。ドメイン コントローラで監査を有効にすると、通常は以下のオブジェクトの種類に対する参照を含む監査イベントが生成されます。
    • SAM_ALIAS
    • SAM_GROUP
    • SAM_USER
    • SAM_DOMAIN
    • SAM_SERVER
    これらのイベントは、セキュリティ アカウント マネージャ (SAM) オブジェクトにセキュリティ アクセス制御リスト (SACL) があり、多くの SAM アクティビティが発生していることを示しています。通常、これらのイベントは、ドメイン コントローラ上でのみ発生します。
  • 監査対象のオブジェクトを頻繁に開くアプリケーションか、必要以上のアクセス許可を使用して監査対象のオブジェクトを開くアプリケーションを使用しています。たとえば、読み取り専用のアクセス許可のみが必要な場合に、アプリケーションでフル コントロールのアクセス許可を要求している場合です。このような動作が実行されている場合、生成されるイベントの参照先のプロセスが、常に同じアプリケーションになっています。

解決方法

この問題を解決するには、以下のいずれかの方法を使用します。

方法 1

ローカル セキュリティ ポリシー設定の "グローバル システム オブジェクトへのアクセスを監査する" を有効にしていた場合は、無効に設定にします。無効にするには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。gpedit.msc と入力し、[OK] をクリックします。
  2. 次の項目を見つけます。
    コンソール ルート\ローカル コンピュータ ポリシー\コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション
  3. [グローバル システム オブジェクトへのアクセスを監査する] をダブルクリックし、[ローカル セキュリティの設定] の [無効] をクリックし、[OK] をクリックします。
  4. [ファイル] メニューの [終了] をクリックしてから、エディタを終了した後、コンピュータを再起動します。

方法 2

ドメイン コントローラで監査を有効にしている場合は、ADSI Edit スナップインを使用して、SAM オブジェクトの SACL の監査エントリを削除します。この操作を行うには、以下の手順を実行します。

: ADSI Edit スナップインは、Windows 2000 のインストール CD-ROM の Support フォルダにあります。

警告 : ADSI Edit スナップイン、LDP ユーティリティ、またはその他の LDAP 3 クライアントを使用して、Active Directory オブジェクトの属性に不適切な変更を加えると、深刻な問題が発生することがあります。最悪の場合、Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server、Microsoft Exchange Server 2003 のいずれか、または Windows と Exchange の両方の再インストールが必要になることがあります。マイクロソフトは、Active Directory オブジェクトの属性の誤った変更により発生した問題に関して、一切責任を負わないものとします。これらの属性の変更は、自己の責任において行ってください。
  1. ドメイン管理者のアクセス許可を持つアカウントを使用してドメイン コントローラにログオンします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。adsiedit.msc と入力し、[OK] をクリックします。
  3. ADSI Edit スナップインで [ADSI Edit] を右クリックし、[Connect to] をクリックします。
  4. [Connection] ダイアログ ボックスで、[Distinguished Name] がオンになっていることを確認し、[Distinguished Name] ボックスに次のように入力します。
    CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension
  5. [Default (Domain or Server that you logged in to)] をクリックし、[OK] をクリックします。
  6. ADSI Edit スナップインで、[CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension] を右クリックし、[プロパティ] をクリックします。
  7. [CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension Properties] ダイアログ ボックスで、[セキュリティ] タブをクリックします。
  8. [詳細] をクリックし、[監査] タブをクリックします。
  9. [継承可能な監査エントリを親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにします。
  10. 次のメッセージが表示されたら、[削除] をクリックします。
    継承可能な監査エントリの、このオブジェクトへの伝達が妨げられています。操作を選んでください。
  11. [OK] を 2 回クリックして、設定を保存し、[CN=Server,CN=System,DC=Domain_Name,DC=Domain_Extension Properties] ダイアログ ボックスを閉じます。

方法 3

必要なときにだけ必要なアクセス許可で監査対象のオブジェクトを開くようにカスタム アプリケーションを構成します。たとえば、必要最小限のアクセス許可のみを要求するように、カスタム アプリケーションを構成します。カスタム アプリケーションで、特定のオブジェクトに対して読み取り専用のアクセス許可のみが必要な場合は、読み取り専用のアクセス許可のみを割り当てます。この場合、フル コントロールのアクセス許可は必要ではありません。

詳細

Windows 2000 では、ユーザーまたはプログラムで要求されるアクセス許可に基づいて監査が実装されています。そのオブジェクトに対する監査可能なレベルのアクセス許可を持つアカウントを使用して、ユーザーまたはプログラムがあるオブジェクトにアクセスした場合、Windows では、対応する監査イベントが生成されます。たとえば、オブジェクトに対する書き込みのアクセス許可を持つようにプログラムを構成し、その書き込みイベントに対する監査を構成した場合、そのプログラムがオブジェクトにアクセスすると、書き込みの監査イベントが生成されます。そのプログラムでレジストリ サブキーに対する書き込みの処理を実行していない場合でも、イベントの生成は行われます。この場合、そのプログラムには、そのオブジェクトに対して書き込みを行う可能性があるため、この監査イベントが生成されます。

Windows では、Common Criteria の認定基準、および従来の C2 の認定基準に準拠するように、この監査方式が実装されています。C2 の監査要件の関連情報については、『A Guide to Understanding Audit in Trusted Systems』を参照してください。このガイドを参照するには、次の Web ページにアクセスしてください。
http://www.fas.org/irp/nsa/rainbow/tg001.htm
このガイドの「Section 6.1.1 Auditable Events」に、以下の 2 つの監査可能なイベントが記載されています。
  • Introduction of objects into a user's address space (ユーザーのアドレス空間へのオブジェクトの導入)
  • Deletion of objects from a user's address space (ユーザーのアドレス空間からのオブジェクトの削除)
Windows では、イベント ID 560 は 1 つ目のイベントを、イベント ID 562 は 2 つめのイベントを表しています。

Common Criteria の認定基準の関連情報については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windows2000/techinfo/planning/commoncriteria.asp
レジストリ キーを監査する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
315416 [HOW TO] Windows 2000 でグループ ポリシーを使用してレジストリ キーを監査する方法
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
816915 Microsoft Windows ソフトウェア更新プログラム パッケージの新しい名前付けスキーマ
824684 マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

プロパティ

文書番号: 841001 - 最終更新日: 2006年7月25日 - リビジョン: 2.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbbug kbfix kbqfe kbenv kbeventlog kbprb kbwin2000presp5fix KB841001
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com