PLURAサービスは、情報セキュリティを目的とし、セキュリティに関して直接、ディテールなアプローチを試みています。

 

◈ 監査ポリシーとは

    • 監査ポリシーは、コンピュータのセキュリティに影響を与えるセキュリティ設定を組み合わせたものです。ローカルセキュリティポリシーを使用して、ローカルコンピュータのポリシーを編集することができます。
    • ローカルセキュリティポリシーを使用して、以下をコントロールできます。
      ( ▼ WindowsKey+R > secpol.msc > ローカルポリシー > 監査ポリシー )

 

  • Windowsをインストールすると、ローカルセキュリティポリシーの「デフォルト設定」が既に決まっています。
    ポリシー ポリシーサーバのバージョンのデフォルト デスクトップバージョンのデフォルト
    オブジェクトへのアクセス
    アカウント管理 ユーザーアカウントの管理:成功
    コンピュータアカウントの管理:成功
    セキュリティグループの管理:成功
    ユーザーアカウントの管理:成功
    セキュリティグループの管理:成功
    アカウントログオンイベント계정 로그온 이벤트 資格情報の検証:成功
    Kerberosサービスチケットの操作:成功
    Kerberos認証サービス:成功Kerberos
    特権使用の監査
    ディレクトリサービスアクセス ディレクトリサービスアクセス:成功
    ログオンイベントログオン:成功、失敗
    ログオフ:成功
    アカウントのロック:成功
    特殊ログオン:成功
    ネットワークポリシーサーバー:成功、失敗
    ログオン:成功
    ログオフ:成功
    アカウントのロック:成功
    特殊ログオン:成功
    ネットワークポリシーサーバー:成功、失敗
    システムイベント セキュリティ状態の変更:成功
    システムの整合性:成功、失敗
    その他のシステムイベント:成功、失敗
    セキュリティ状態の変更:成功
    システムの整合性:成功、失敗
    その他のシステムイベント:成功、失敗
    ポリシーの変更 監査ポリシーの変更:成功
    認証ポリシーの変更:成功
    監査ポリシーの変更:成功
    認証ポリシーの変更:成功
    プロセスの追跡

    (▲空き領域は、「監査しない」になります。)

     

  • 監査設定を構成しないとセキュリティ問題の状況の最中にどのようなことが発生したか把握することが非常に難しくなります。構成された監査設定でイベントを生成するタスクが多すぎてもセキュリティイベントログが不要なデータでいっぱいになります。また、多数のオブジェクトに対して監査設定を構成すると、コンピュータ全体のパフォーマンスにも影響を与えるようになります。正当なユーザーが自分の仕事に責任を負って許可されてない作業を検出および追跡できるように、すべてのコンピュータで適切な監査ポリシー設定をする必要があります。

1.オブジェクトアクセスの監査

  1. このポリシー設定は、ファイル、フォルダ、レジストリキー、プリンタなどの監査要件を指定するSACL(システムアクセス制御リスト)を持つオブジェクトにアクセスするユーザーのイベントを監査するかどうかを決定します。
  2. 成功の監査は、ユーザーがSACLを持つオブジェクトに正常にアクセスすると監査エントリを作成します。
  3. 失敗の監査は、ユーザーがSACLを持つオブジェクトにアクセスできないとき、監査エントリを生成します。通常のコンピュータの作業中でも失敗したイベントが発生することがあります。たとえばMicrosoft Wordなどの多くのアプリケーションは、常に読み取りおよび書き込み権限の両方を使用してファイルを開こうとします。このような権限でファイルを開くことができない場合は、アプリケーションでは、読み取り専用の権限でファイルを開こうとします。失敗の監査とファイルの適切なSACLを使用している場合、そのようなイベントが発生すると失敗したイベントが記録されます。
  4. オブジェクトアクセスの監査ポリシーの設定を構成し、オブジェクトのSACLを構成すると、組織内のコンピュータのセキュリティログに大量のエントリが生成されることがあります。その上、ログされた情報を実際に使用する場合にのみ、このような設定を使います。

2.アカウント管理、監査


  • このポリシー設定はコンピュータの各アカウントの管理イベントを監査を決定します。

    – ユーザーアカウントまたはグループを作成、変更、削除する場合。
    – ユーザーアカウントの名前を変更したりユーザーアカウントを使用、または使用しない場合。
    – パスワードを設定、変更。
  • 成功の監査は、アカウント管理イベントが成功する監査エントリを生成するので、すべてのコンピュータで使用する必要があります。組織がセキュリティ関連の問題に対処するときはアカウントを作成、変更、削除したユーザーを追跡できなければなりません。
  • 失敗の監査は、アカウント管理イベントが失敗したときに監査エントリを作成します。

3.アカウントログオンイベントの監査

  • このポリシー設定では、イベントを記録し、アカウントを検証するコンピュータ以外のコンピュータでは、各ユーザーのログオンやログオフのインスタンスを監査するかどうかを決定します。
  • 成功の監査は、アカウントログオンが成功すると監査エントリを作成します。この監査エントリはログオンしたユーザーとログオンコンピュータを確認できる会計と事後法的手続き用の有用な情報です。
  • 失敗の監査は、アカウントログオンが失敗したときに監査エントリが生成され、この項目は、侵入検知に役立てることができます。ただし、この構成を使う場合、攻撃者が非常に多くのログインの失敗を生成してセキュリティイベントログを入力することになるとサーバーがシャットダウンされ、サービス拒否(DoS)状態が発生することがあります。
  • ドメインコントローラでアカウントログオンイベントの監査の設定を成功に設定すると、ユーザーがそのドメインに参加したワークステーションまたはサーバーに実際にログオンしても、ドメインコントローラに検証される各ユーザーのエントリが記録されます。

4. 권한 사용 감사

  • このポリシー設定は、権限を使用しているユーザーの各インスタンスを監査するかどうかを決定します。
  • 成功の監査は、ユーザー権限の使用を成功すると監査エントリを作成します。
  • 失敗の監査は、ユーザー権限の使用に失敗した場合、監査項目を作成します。このポリシー設定を使うと、生成されるイベントの量が非常に多くなり、イベントを整列することが困難になる可能性ががあります。生成された情報をどのように使うかを計画した場合のみ、この設定を使ってください。

5.ディレクトリサービスのアクセスの監査

  • このポリシー設定は、接続されたSACL(システムアクセス制御リスト)があるActive Directoryディレクトリサービスオブジェクトへのユーザーアクセスを監査するかを決定します。 SACLはMicrosoft Windowsベースのネットワークでオブジェクトに対する操作を監査するユーザーおよびグループのリストです。
  • 成功の監査は、要求された操作に対してユーザーを監査する必要があることを示すSACLを持つActive Directoryオブジェクトにユーザーが正常にアクセスすると監査エントリを作成します。
  • 失敗の監査は、監査が必要なSACLを持つActive Directoryオブジェクトへのユーザーアクセスできなかったら監査エントリを作成します。
  • 両方の監査エントリのタイプすべての要求の成功または失敗するかをユーザーに知らせる前に作成されます。このポリシー設定を使って、ディレクトリオブジェクトのSACLを構成する場合は、ドメインコントローラのセキュリティログで大量のアイテムが生成されることがあります。その上、生成された情報を実際に使用する場合にのみに使用します。

6. ログオンイベントの監査

  • このポリシー設定では、監査イベントを記録するコンピュータのユーザーのログオン、ログオフ、またはネットワーク接続の各インスタンスを監査を決定します。ドメインコントローラで成功したアカウントログオン監査イベントを記録する場合には、ワークステーションにログオントライにより、ログオン監査が生成されません。ドメインコントローラ自体の対話型およびネットワークログオンの試行を介してのみ、ドメインコントローラにログオンイベントが生成されます。つまり、アカウントログオンイベントは、アカウントが有効になる時点で生成され、ログオンイベントは、ログオン試みが発生する時点で生成されます。
  • 成功の監査は、ログオンが成功する監査エントリを作成します。この監査エントリはログオンしたユーザーとログオンコンピュータを確認することができ、会計及び事後法的手続きのための有用な情報です。
  • 失敗の監査は、ログオン試行が失敗したときに監査エントリが生成され、この項目は、侵入検知に役立てることができます。ただし、この構成を使用している場合、攻撃者が非常に多くのログインの失敗を生成して、セキュリティイベントログを入力することで、サーバーがシャットダウンされてサービス拒否(DoS)状態が発生する可能性があります。

7. システムイベントの監査

  • このポリシー設定は、ユーザーがコンピュータを再起動するか、終了する場合、またはコンピュータのセキュリティやセキュリティログに影響を与えるイベントが発生した場合に、これを監査を決定します。
  • 成功の監査では、イベントが正常に実行されると、監査項目を作成します。
  • 失敗の監査イベントを実行できなかったら、監査エントリを作成します。
  • システムイベントに失敗と成功の監査の両方を使用する場合、追加で記録されるイベントがほとんどなく、これらのイベントは、非常に重大であるため、すべてのコンピュータにこのポリシー設定を構成する必要があります。

8. ポリシーの変更と監査

  • このポリシー設定では、すべてのユーザー権利の割り当てポリシー、Windows Firewallポリシー、監査ポリシー、または信頼ポリシーの変更と監査を決定します。
  • 成功の監査は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーが正常に変更されると、監査項目を作成します。この監査情報は、会計に便利に使うことができ、この情報を使用して、ドメインまたは個々のコンピュータのポリシーを正常に変更したユーザーを確認することができます。
  • 失敗の監査は、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーを変更できない場合は、監査項目を作成します。

9. プロセス追跡監査

  • このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの複製、および間接的オブジェクトアクセスなどのイベントに関する詳細な追跡情報を監査を決定します。
  • 成功の監査は、追跡中のプロセスが成功すると、監査エントリを作成します。
  • 失敗の監査は、追跡中のプロセスが失敗した場合、監査項目を作成します。
  • プロセス追跡の監査設定を使用すると、多くのイベントが生成されます。このポリシー設定では、通常、「監査しない」に設定されます。ただし、このポリシー設定によって生成される情報は、開始されたプロセスとプロセスが開始された時期の詳細なログを提供するため、問題の状況の時に非常に便利に使うことができます。

 

◈ Pluraサービス監査ポリシー

    • Pluraサービスをインストールすると、監査ポリシーが追加設定されます。
    • Pluraクライアントのインストール後、ログインをすると plura.bat ファイルが実行され、, 監査ポリシーの全てが有効になります
    • Plurablue.batのスクリプトの内容です。
    • 9つの監査ポリシー全てを有効(3)しました
    • スクリプトが実行されると、監査ポリシーが変更されます。