高度なセキュリティ監査ポリシーが Win7 に適用されない

tag-icon tag-icon group-policy
高度なセキュリティ監査ポリシーが Win7 に適用されない

問題

高度なセキュリティ監査ポリシー構成を持つ GPO を Windows 7 クライアントに適用しようとしていますが、設定が適用されません。

私はこの記事を参考にして自分の仕事を再確認しました -http://technet.microsoft.com/en-us/library/dd408940(v=ws.10).aspx

監査ポリシーのカテゴリ設定を上書きするために、監査: 監査ポリシーのサブカテゴリ設定を強制する (Windows Vista 以降) を有効にしました。

Auditpol.exe /get /category:* を実行すると、新しい GPO で設定した設定ではなく、既定の詳細監査設定のみが適用されていることがわかります。GPO 内の他の設定が存在し、RSOP で GPO が正常に適用されたことが示されているため、GPO 自体がコンピューターに適用されていることがわかります。

OU構造の上位に、高度な監査設定を適用するGPOがあるため、何らかの理由でそれが干渉または上書きされていると考えましたが、auditpol.exe /get /category:*にも表示されません。auditpol.exe /clearを実行してポリシーをクリアしました。

| |

Auditpol.exe /clearの後

|

カテゴリー/サブカテゴリー設定

システム

セキュリティシステム拡張監査なし

システムの整合性監査なし

IPsec ドライバー監査なし

その他のシステムイベント 監査なし

セキュリティ状態の変更 監査なし

ログオン/ログオフ

ログオン監査なし

ログオフ監査なし

アカウントロックアウト 監査なし

IPsec メインモード 監査なし

IPsec クイックモード 監査なし

IPsec 拡張モード 監査なし

特別ログオン監査なし

その他のログオン/ログオフイベント監査なし

ネットワーク ポリシー サーバー監査なし

オブジェクトアクセス

ファイルシステム監査なし

レジストリ監査なし

カーネルオブジェクト監査なし

SAM 監査なし

認証サービス 監査なし

アプリケーションは監査なしで生成されました

ハンドル操作監査なし

ファイル共有監査なし

フィルタリング プラットフォーム パケット ドロップ 監査なし

フィルタリング プラットフォーム接続監査なし

その他のオブジェクト アクセス イベント 監査なし

詳細なファイル共有監査なし

特権の使用

機密権限の使用監査なし

機密性のない権限の使用 監査なし

その他の権限使用イベント監査なし

詳細な追跡

プロセス終了監査なし

DPAPI アクティビティ監査なし

RPC イベント監査なし

プロセス作成 監査なし

政策変更

監査ポリシーの変更 監査なし

認証ポリシーの変更 監査なし

承認ポリシーの変更監査なし

MPSSVC ルールレベルポリシー変更監査なし

フィルタリング プラットフォーム ポリシーの変更 監査なし

その他のポリシー変更イベント 監査なし

アカウント管理

ユーザーアカウント管理監査なし

コンピュータアカウント管理監査なし

セキュリティグループ管理監査なし

配布グループ管理監査なし

アプリケーショングループ管理監査なし

その他のアカウント管理イベント 監査なし

DS アクセス ディレクトリ サービスの変更 監査なし

ディレクトリ サービス レプリケーション 監査なし

詳細なディレクトリ サービス レプリケーション 監査なし

ディレクトリ サービス アクセス監査なし

アカウントログオン

Kerberos サービス チケット操作 監査なし

その他のアカウント ログオン イベント 監査なし

Kerberos 認証サービス監査なし

資格情報の検証監査なし

その後、gpupdate /force を実行して再起動しましたが、AuditPol では依然としてすべての設定に対して「監査なし」と表示されます。

また、C:\Windows\security\audit にある、構造の上位にある GPO の設定 (ローカル設定のみが含まれていると読んだのですが) は含まれているものの、新しい GPO は含まれていないと思われるaudit.csv ファイルも削除し、gpupdate /force を実行しました。gpupdate /force を実行した後、ファイルは復元され、新しい GPO 設定ではなく、OU 構造の上位にある GPO の既定の設定と詳細な監査設定が表示されましたが、auditpol ではまだすべての設定の監査が表示されませんでした。また、audit.csv ファイルの変更日は数か月前だったので、最初の GPO から情報を取得しているだけなのではないかと思います。新しい GPO を強制して上位にランク付けしてみましたが、それでも適用されません。

環境

Windows 7 SP1 クライアントと Windows 2008R2 DC

どのような助けでも大歓迎です。

答え1

Windows 7 / Vista の場合: start > を実行しますcmd.exe

オプションを一覧表示するには:

c:\auditpol /list /subcategory:*

カテゴリー/サブカテゴリー

システム

  • セキュリティ状態の変更
  • セキュリティシステム拡張
  • システムの整合性
  • IPsec ドライバー
  • その他のシステムイベント

ログオン/ログオフ

  • ログオン
  • ログオフ
  • アカウントロックアウト
  • IPsec メインモード
  • IPsec クイックモード
  • IPsec 拡張モード
  • 特別ログオン
  • その他のログオン/ログオフイベント
  • ネットワーク ポリシー サーバー

オブジェクトアクセス

  • ファイルシステム
  • レジストリ
  • カーネルオブジェクト
  • サム
  • 認証サービス
  • アプリケーション生成
  • ハンドル操作
  • ファイル共有
  • フィルタリング プラットフォーム パケット ドロップ
  • フィルタリングプラットフォーム接続
  • その他のオブジェクト アクセス イベント
  • 詳細なファイル共有

特権の使用

  • 機密権限の使用
  • 機密性のない権限の使用
  • その他の特権使用イベント

詳細な追跡

  • プロセスの作成
  • プロセスの終了
  • DPAPI アクティビティ
  • RPC イベント

政策変更

  • 監査ポリシーの変更
  • 認証ポリシーの変更
  • 承認ポリシーの変更
  • MPSSVC ルールレベルのポリシー変更
  • フィルタリング プラットフォーム ポリシーの変更
  • その他の政策変更イベント

アカウント管理

  • ユーザーアカウント管理
  • コンピュータアカウント管理
  • セキュリティグループ管理
  • 配布グループ管理
  • アプリケーショングループ管理
  • その他のアカウント管理イベント

DS アクセス

  • ディレクトリサービスアクセス
  • ディレクトリ サービスの変更
  • ディレクトリサービスのレプリケーション
  • 詳細なディレクトリサービスレプリケーション

アカウントログオン

  • 資格情報の検証
  • Kerberos サービス チケット操作
  • その他のアカウントログオンイベント
  • Kerberos 認証サービス

次に、 を使用してauditpol /set ...値を設定します。詳細なヘルプについては、 を使用してくださいauditpol /?

関連情報