約 1 か月前に Cryptolocker の攻撃を受けましたが、ファイル監査を設定していなかったため、攻撃元がどのユーザーであるかを特定する方法がありませんでした。
「管理ツール」>「ローカル セキュリティ ポリシー」>「ローカル ポリシー」>「監査ポリシー」に進み、オブジェクト アクセスの成功と失敗を有効にしました。
次に、共有ドライブのルート フォルダーの監査設定に移動し、「ドメイン ユーザー」の属性の書き込み、削除、サブフォルダーとファイルの削除を監視するように選択しました。
しかし、イベント ログには、「詳細なファイル共有」イベント 5145、「ネットワーク共有オブジェクトをチェックして、クライアントに必要なアクセスを許可できるかどうかを確認しました」が大量に記録されています。
これらのイベントを確認する必要はまったくなく、再び CryptoLocker に感染した場合に備えて、ファイルが変更されるかどうかを追跡したいだけです。これらの種類のイベントのみを取得するために、他に何かする必要があるでしょうか?
Windows イベント ログよりも優れた機能を備えたツールはありますか?
答え1
次の場所にある従来の監査設定を使用する場合:
Windows の設定 > セキュリティ設定 > ローカル ポリシー > 監査ポリシー > オブジェクト アクセスは、監査が有効になっているオブジェクトによっては非常に粗く、多くのノイズが発生する可能性があります。
従来の監査を「未構成」に設定し、次の場所にある高度な監査を有効にすると、
Windows 設定 > セキュリティ設定 > ローカル ポリシー > 詳細な監査ポリシー構成 > オブジェクト アクセス
必要なサブカテゴリ(この場合はファイル システム)のみを有効にできます。
次に、ファイル システムで、最上位フォルダーに必要な監査の種類のみを有効にします。
