前のトピック: GROUP レコードの AUDIT プロパティ値の変更次のトピック: 監査プロセス

Windows エンドポイント管理ガイド監視と監査CA ControlMinder の監査対象Windows での監査ポリシーの設定

Windows での監査ポリシーの設定

アクセサおよびリソースに関するアクセス ルールを設定するだけでなく、監査ログに書き込む Windows イベントを指定できます。 このような監査ポリシーは、組織全体に対して、グループ単位、プロファイル グループ単位、またはユーザ単位で指定できます。

例: プロファイル グループのすべてのメンバ向けの監査ポリシーを設定する

以下の例では、プロファイル グループに属するすべてのユーザ向けの監査ポリシーを設定する方法を示します。

  1. 必要な監査モードで、新しいプロファイル グループを作成します。 以下に例を示します。 
    newgrp profileGroup audit(failure) owner(nobody)
  2. 新しいユーザを作成し、作成したプロファイル グループに追加します。 以下に例を示します。 
    newusr user1 profile(profileGroup) owner(nobody)
  3. ユーザの監査設定を削除します。 以下に例を示します。 
    chusr user1 audit-

この設定が有効かどうかを確認できます。

  1. 新しいユーザでログインします。 
    runas /user:user1 cmd.exe
  2. user1 のコマンド プロンプト ウィンドウに、以下のコマンドを入力します。 
    secons -whoami

    このコマンドでは、user1 の認証に使用され、user1 の ACEE に保持されている情報が表示されます。

    ACEE 監査モード: 失敗; プロファイル グループ定義から由来

    このメッセージにより、監査ポリシーは、ユーザが属するプロファイル グループから派生していることが確認されます。

例: グループ メンバの監査ポリシーを設定する

この例では、Forward Inc という名前の架空の会社が CA ControlMinder を使用して /production ディレクトリ内のすべてのファイルを保護します。 /production ディレクトリにはネイティブ環境で完全なアクセス権限があります。

Forward Inc は、/production ディレクトリへのすべてのアクセス試行を拒否し、監査することを検討しています。 ただし、Forward Inc は、開発者の /production ディレクトリへの読み取りアクセスは許可します。 このアクセスは監査されません。 開発者による /production ディレクトリへの書き込み試行は、拒否されて監査されます。

開発者は、/production ディレクトリへの完全なアクセス権を要求できます。 Forward Inc は、完全なアクセス権を持つユーザが /production ディレクトリ内で実行するすべてのアクティビティを監査します。

以下のプロセスでは、Forward Inc が前のシナリオを実装するために実行する手順について説明します。

  1. ネイティブ環境に「Developers」という名前のグループを作成します。 すべての開発者をこのグループに追加します。
  2. ネイティブ環境に「Dev_Access_All」という名前のグループを作成します。 ユーザはこのグループに追加しないでください。
  3. 以下のようにして、/production ディレクトリに対する包括的なアクセス ルールを定義します。 
    authorize FILE /production/* access(none) uid(*)

    このルールは、デフォルト アクセスを「なし」に設定します。

  4. 以下のようにして、/production ディレクトリに対する包括的な監査ルールを定義します。 
    editres FILE /production/* audit(failure)

    このルールは、/production ディレクトリへのアクセスに失敗したすべての試行を監査します。

  5. 以下のようにして、Developers グループにアクセス ルールを定義します。 
    authorize FILE /production/* access(read) xgid(Developers)

    このルールは Developers グループのメンバに /production ディレクトリへの読み取りアクセスを許可します。

    注: 手順 4 で設定したルールによって、Development グループのメンバを含め、任意のユーザによるすべての失敗したアクセス試行を CA ControlMinder が確実に監査できるようになります。

  6. 以下のようにして、Dev_Access_All グループにアクセス ルールを定義します。 
    authorize FILE /production/* access(all) xgid(Dev_Access_All)

    このルールによって、Dev_Access_All グループのメンバに /production ディレクトリへの完全なアクセス権が許可されます。

  7. 以下のようにして、Dev_Access_All グループに監査ルールを定義します。 
    chxgrp Dev_Access_All audit(all)

    このルールは、Dev_Access_All グループのメンバが実行するすべてのアクションを監査します。

  8. Developers グループのメンバに /production ディレクトリへの完全なアクセス権が必要な場合は、ユーザをネイティブ環境内の Dev_Access_All グループに追加します。

    ユーザには /production ディレクトリへの完全なアクセス権があり、CA ControlMinder は、ユーザが実行するすべてのアクションを監査します。

    注: グループ メンバシップの変更を有効にするには、ユーザが新しいログオン セッションを開始する必要があります。

  9. ユーザがタスクを /production ディレクトリで完了したら、ユーザをネイティブ環境の Dev_Access_All グループから削除します。

    これで、ユーザは /production ディレクトリへの読み取りアクセスを得ることができます。 CA ControlMinder は、ユーザによる /production ディレクトリでのその他すべてのアクセス試行を拒否して監査します。

    注: グループ メンバシップの変更を有効にするには、ユーザが新しいログオン セッションを開始する必要があります。