前のトピック: Windows Server 2008 で IPv4 を使用しない Telnet 接続がセキュリティで保護されない次のトピック: Windows レジストリ保護

Windows エンドポイント管理ガイドリソースの管理Windows サービス保護保護対象 Windows サービスへのアクセスの試みの表示

保護対象 Windows サービスへのアクセスの試みの表示

CA ControlMinder は、Windows サービスを保護する場合、そのサービスに関連するアクセスの試みをインターセプトして、監査ログに記録します。 このようなアクセスの試みは、サービスを管理するために(起動、停止など)services.exe プロセスを使用した結果である場合と、保護対象サービスのサービス データベース管理領域へのレジストリ アクセスの結果である場合があります。 services.exe プロセスを使用した結果によるアクセスでは、監査ログにサービス名しか記録されないのに対し、レジストリ アクセスの結果によるアクセスでは、完全なレジストリ パスが記録されます。 Windows サービスに関連するすべてのアクセスの試みを表示するには、ワイルドカードを使用する必要があります。

保護対象 Windows サービスへのアクセス試行を表示するには、クラス WINSERVICE とリソース名 *myService* の監査レコードをフィルタ処理する監査フィルタを作成します。

CA ControlMinder では、定義した WINSERVICE リソースに対するすべての監査レコードが表示されます(アクセス試行が、レジストリを介するものか、サービス管理インターフェースを介するものかは関係ありません)。

例: 印刷スプーラ サービスへのすべてのアクセスの試みを表示する

この例では、以下のように、アクセス権を持たない印刷スプーラ サービスを CA ControlMinder に対して定義したとします。

er winservice spooler defaccess(none) owner(nobody)

以下のように seaudit ユーティリティを使用して、印刷スプーラ サービスへのすべてのアクセスの試みを一覧表示することができます。

seaudit -resource WINSERVICE *spooler* *

このコマンドにより、印刷スプーラ サービスに対するアクセス試行に関して記録された、クラス WINSERVICE のすべての監査レコードが一覧表示されます。 出力結果は以下のようになります。

seaudit - Audit log lister
3 Apr 2008 16:53:48 D WINSERVICE   bigHost1¥Administrator Read       69  2 Spooler
   c:¥WINDOWS¥system32¥services.exe bigHost1.comp.com
3 Apr 2008 16:53:48 D WINSERVICE   bigHost1¥Administrator Read       69  2 Spooler
   c:¥WINDOWS¥system32¥services.exe bigHost1.comp.com
3 Apr 2008 16:53:50 D WINSERVICE   bigHost1¥Administrator Read       69  2 Spooler
   c:¥WINDOWS¥system32¥services.exe bigHost1.comp.com
3 Apr 2008 16:53:50 D WINSERVICE   bigHost1¥Administrator Read       69  2 Spooler
   c:¥WINDOWS¥system32¥services.exe bigHost1.comp.com
3 Apr 2008 16:53:53 D WINSERVICE   bigHost1¥Administrator Read       69  2 Spooler
   c:¥WINDOWS¥system32¥services.exe bigHost1.comp.com
3 Apr 2008 16:53:53 D WINSERVICE   bigHost1¥Administrator Read       69  2 Spooler
   c:¥WINDOWS¥system32¥services.exe bigHost1.comp.com
03 Apr 2008 16:54:10 D WINSERVICE   bigHost1¥Administrator Read       69  2 HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Spooler
   C:¥WINDOWS¥regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:10 D WINSERVICE   bigHost1¥Administrator Read       69  2 HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Spooler
   C:¥WINDOWS¥regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:19 D WINSERVICE   bigHost1¥Administrator Read       69  2 HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Spooler
   C:¥WINDOWS¥regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:26 D WINSERVICE   bigHost1¥Administrator Read       69  2 HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Spooler
   C:¥WINDOWS¥regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:26 D WINSERVICE   bigHost1¥Administrator Modify     69  2 HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥Spooler
   C:¥WINDOWS¥regedit.exe bigHost1.comp.com

Total records displayed 11