次の方法で共有


監査ポリシーの推奨事項

このセクションでは、ワークステーションとサーバーの製品について、Windows の既定の監査ポリシーの設定、ベースラインとして推奨される監査ポリシーの設定、Microsoft からの積極的な推奨事項について説明します。

ここに示されている SCM のベースラインの推奨事項と、セキュリティの侵害を検出するために推奨される設定は、管理者向けの最初のベースライン ガイドになることを目的としています。 各組織では、直面する脅威、受け入れ可能なリスクの許容範囲、有効にする必要がある監査ポリシーのカテゴリまたはサブカテゴリに関係なく、自身で判断する必要があります。 脅威の詳細については、脅威と対策に関するガイドを参照してください。 適切な監査ポリシーを設定していない管理者は、運用環境で実装する前に、ここで推奨されている設定から開始し、変更してテストすることをお勧めします。

推奨事項は、エンタープライズ クラスのコンピューターを対象としており、Microsoft では、平均的なセキュリティ要件で、高いレベルの運用機能を必要とするコンピューターとして定義しています。 高いセキュリティ要件を必要とするエンティティは、積極的な監査ポリシーを検討する必要があります。

注意

Microsoft Windows の既定値とベースラインの推奨事項は、Microsoft Security Compliance Manager ツールから取得しています。

次のベースライン監査ポリシーの設定は、特定された敵対者またはマルウェアによるアクティブな攻撃が成功したと認識されていない標準のセキュリティのコンピューターで推奨されます。

このセクションでは、次のオペレーティング システムに適用される監査設定の推奨事項を一覧表示した表について説明します。

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008
  • Windows 10
  • Windows 8.1
  • Windows 7

これらの表には、Windows の既定の設定、ベースラインの推奨事項、これらのオペレーティング システムに対する強力な推奨事項が含まれています。

監査ポリシーの表の凡例

Notation 推奨
はい 一般的なシナリオで有効にする
いいえ 一般的なシナリオで有効にしない
If 特定のシナリオで必要な場合、または監査が必要な役割または機能がマシンにインストールされている場合に有効にする
DC ドメイン コントローラーで有効にする
[空白] 推奨なし

Windows 10、Windows 8、Windows 7 の監査設定の推奨事項

監査ポリシー

監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

アカウント ログオン
資格情報の確認の監査 No | No Yes | No Yes | Yes
Kerberos 認証サービスの監査 Yes | Yes
Kerberos サービス チケット操作の監査 Yes | Yes
その他のアカウント ログオン イベントの監査 Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

アカウント管理
アプリケーション グループの管理の監査
コンピューター アカウント管理の監査 Yes | No Yes | Yes
配布グループの管理の監査
その他のアカウント管理イベントの監査 Yes | No Yes | Yes
セキュリティ グループの管理の監査 Yes | No Yes | Yes
ユーザー アカウントの管理の監査 Yes | No Yes | No Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

詳細な追跡
DPAPI アクティビティの監査 Yes | Yes
プロセス作成の監査 Yes | No Yes | Yes
プロセス終了の監査
RPC イベントの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

DS アクセス
詳細なディレクトリ サービス レプリケーションの監査
ディレクトリ サービスへのアクセスの監査
ディレクトリ サービスの変更の監査
ディレクトリ サービス レプリケーションの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

ログオンとログオフ
アカウント ロックアウトの監査 Yes | No Yes | No
ユーザー/デバイスの要求の監査
IPsec 拡張モードの監査
IPsec メイン モードの監査 IF | IF
IPsec クイック モードの監査
ログオフの監査 Yes | No Yes | No Yes | No
ログオンの監査 1 Yes | Yes Yes | Yes Yes | Yes
ネットワーク ポリシー サーバーの監査 Yes | Yes
その他のログオン/ログオフ イベントの監査
特殊なログオンの監査 Yes | No Yes | No Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

オブジェクト アクセス
生成されたアプリケーションの監査
証明書サービスの監査
詳細なファイル共有の監査
ファイル共有の監査
ファイル システムの監査
フィルタリング プラットフォーム接続の監査
フィルタリング プラットフォームのパケット破棄の監査
ハンドル操作の監査
カーネル オブジェクトの監査
その他のオブジェクト アクセス イベントの監査
レジストリの監査
リムーバブル記憶域の監査
SAM の監査
集約型アクセス ポリシーのステージングの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

ポリシーの変更
監査ポリシーの変更の監査 Yes | No Yes | Yes Yes | Yes
認証ポリシー変更の監査 Yes | No Yes | No Yes | Yes
認可ポリシー変更の監査
フィルタリング プラットフォームのポリシー変更の監査
MPSSVC ルールレベル ポリシーの変更の監査 Yes
その他のポリシー変更イベントの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

特権の使用
重要でない特権の使用の監査
その他の特権の使用イベントの監査
重要な特権の使用の監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

システム
IPsec ドライバーの監査 Yes | Yes Yes | Yes
その他のシステム イベントの監査 Yes | Yes
セキュリティ状態の変更の監査 Yes | No Yes | Yes Yes | Yes
セキュリティ システム拡張機能の監査 Yes | Yes Yes | Yes
システムの整合性の監査 Yes | Yes Yes | Yes Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

グローバル オブジェクト アクセスの監査
IPsec ドライバーの監査
その他のシステム イベントの監査
セキュリティ状態の変更の監査
セキュリティ システム拡張機能の監査
システムの整合性の監査

1 Windows 10 バージョン 1809 より、[ログオンの監査] は [成功] と [失敗] の両方で既定で有効になっています。 以前のバージョンの Windows では、既定で [成功] のみが有効になっています。

Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 の監査設定の推奨事項

監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

アカウント ログオン
資格情報の確認の監査 No | No Yes | Yes Yes | Yes
Kerberos 認証サービスの監査 Yes | Yes
Kerberos サービス チケット操作の監査 Yes | Yes
その他のアカウント ログオン イベントの監査 Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

アカウント管理
アプリケーション グループの管理の監査
コンピューター アカウント管理の監査 Yes | DC Yes | Yes
配布グループの管理の監査
その他のアカウント管理イベントの監査 Yes | Yes Yes | Yes
セキュリティ グループの管理の監査 Yes | Yes Yes | Yes
ユーザー アカウントの管理の監査 Yes | No Yes | Yes Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

詳細な追跡
DPAPI アクティビティの監査 Yes | Yes
プロセス作成の監査 Yes | No Yes | Yes
プロセス終了の監査
RPC イベントの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

DS アクセス
詳細なディレクトリ サービス レプリケーションの監査
ディレクトリ サービスへのアクセスの監査 DC | DC DC | DC
ディレクトリ サービスの変更の監査 DC | DC DC | DC
ディレクトリ サービス レプリケーションの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

ログオンとログオフ
アカウント ロックアウトの監査 Yes | No Yes | No
ユーザー/デバイスの要求の監査
IPsec 拡張モードの監査
IPsec メイン モードの監査 IF | IF
IPsec クイック モードの監査
ログオフの監査 Yes | No Yes | No Yes | No
ログオンの監査 Yes | Yes Yes | Yes Yes | Yes
ネットワーク ポリシー サーバーの監査 Yes | Yes
その他のログオン/ログオフ イベントの監査 Yes | Yes
特殊なログオンの監査 Yes | No Yes | No Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

オブジェクト アクセス
生成されたアプリケーションの監査
証明書サービスの監査
詳細なファイル共有の監査
ファイル共有の監査
ファイル システムの監査
フィルタリング プラットフォーム接続の監査
フィルタリング プラットフォームのパケット破棄の監査
ハンドル操作の監査
カーネル オブジェクトの監査
その他のオブジェクト アクセス イベントの監査
レジストリの監査
リムーバブル記憶域の監査
SAM の監査
集約型アクセス ポリシーのステージングの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

ポリシーの変更
監査ポリシーの変更の監査 Yes | No Yes | Yes Yes | Yes
認証ポリシー変更の監査 Yes | No Yes | No Yes | Yes
認可ポリシー変更の監査
フィルタリング プラットフォームのポリシー変更の監査
MPSSVC ルールレベル ポリシーの変更の監査 Yes
その他のポリシー変更イベントの監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

特権の使用
重要でない特権の使用の監査
その他の特権の使用イベントの監査
重要な特権の使用の監査
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

システム
IPsec ドライバーの監査 Yes | Yes Yes | Yes
その他のシステム イベントの監査 Yes | Yes
セキュリティ状態の変更の監査 Yes | No Yes | Yes Yes | Yes
セキュリティ システム拡張機能の監査 Yes | Yes Yes | Yes
システムの整合性の監査 Yes | Yes Yes | Yes Yes | Yes
監査ポリシーのカテゴリまたはサブカテゴリ Windows の既定

Success | Failure

ベースラインの推奨事項

Success | Failure

強力な推奨事項

Success | Failure

グローバル オブジェクト アクセスの監査
IPsec ドライバーの監査
その他のシステム イベントの監査
セキュリティ状態の変更の監査
セキュリティ システム拡張機能の監査
システムの整合性の監査

ワークステーションとサーバーの監査ポリシーを設定する

すべてのイベント ログ管理計画では、ワークステーションとサーバーを監視する必要があります。 よくある間違いは、サーバーまたはドメイン コントローラーのみを監視することです。 悪意のあるハッキングは最初にワークステーション上で発生することが多いため、ワークステーションを監視しないと、最も早い適切な情報源が無視されます。

管理者は、運用環境で実装する前に、監査ポリシーを徹底的に確認してテストする必要があります。

監視するイベント

セキュリティの警告を生成するための完全なイベント ID には、次の属性が含まれている必要があります。

  • イベントの発生が未承認のアクティビティを示す可能性が高いこと

  • 偽陽性の数が少ないこと

  • 調査またはフォレンジクスの応答が得られること

次の 2 種類のイベントを監視し、警告する必要があります。

  1. 1 回の発生であっても許可されていないアクティビティを示すイベント

  2. 予想および許容される基準を超えて繰り返し発生するイベント

最初のイベントの例を次に示します。

ドメイン コントローラーではないコンピューターへのログオンをドメイン管理者 (DA) が許可されていない場合、エンド ユーザーのワークステーションへの DA メンバーのログオンが 1 回発生すると、警告が生成され、調査されます。 この種のアラートは、特殊なログオンの監査イベント 4964 (特殊グループが新しいログオンに割り当てられている) を使用して簡単に生成できます。 単一インスタンスの警告の他の例を次に示します。

  • サーバー A がサーバー B に接続しないようにする場合、相互に接続すると警告します。

  • 通常のエンド ユーザー アカウントが、機密性の高いセキュリティ グループに予期せず追加されると警告します。

  • 工場 A の従業員が夜間に作業しない場合、ユーザーが深夜にログオンすると警告します。

  • 承認されていないサービスがドメイン コントローラーにインストールされると警告します。

  • 通常のエンド ユーザーが明確な理由がなく SQL Server に直接ログオンしようとすると調査します。

  • メンバーのいない DA グループに他のユーザーが自身を追加すると、即座にチェックします。

2 番目のイベントの例を次に示します。

失敗したログオンの数が異常に多い場合は、パスワード類推攻撃を示している可能性があります。 失敗したログオンの数が異常に多い場合に企業が警告するには、悪意のあるセキュリティ イベントが発生する前に、環境内で失敗したログオンの通常のレベルを最初に把握しておく必要があります。

侵害の兆候を監視するときに含める必要があるイベントの総合的な一覧については、「付録 L: 監視するイベント」を参照してください。

監視する Active Directory のオブジェクトと属性

次に示すのは、Active Directory Domain Services のインストールを侵害する試みを検出できるように監視が必要なアカウント、グループ、属性です。

  • ウイルス対策およびマルウェア対策ソフトウェアを無効または削除するシステム (手動で無効になっている場合は自動的に再起動)

  • 許可されていない変更の管理者アカウント

  • 特権アカウントを使用して実行されるアクティビティ (疑わしいアクティビティが完了したとき、または割り当てられた時間が経過したときにアカウントを自動的に削除)

  • AD DS の特権および VIP アカウント。 変更、特に [アカウント] タブの属性 (cn、name、sAMAccountName、userPrincipalName、userAccountControl) に対する変更を監視します。 アカウントの監視に加えて、アカウントを変更できるユーザーを可能な限り少数の管理ユーザーに制限します。

監視する推奨イベントの一覧、重要度の評価、イベントメッセージの概要については、「付録 L: 監視するイベント」を参照してください。

  • ワークロードの分類によるグループ サーバー (最も注意深い監視と厳格な構成が必要なサーバーを簡単に識別できます)

  • 次の AD DS グループのプロパティとメンバーシップの変更: Enterprise Admins (EA)、Domain Admins (DA)、管理者 (BA)、Schema Admins (SA)

  • アカウントを有効にするために無効になっている特権アカウント (Active Directory とメンバー システムであらかじめ登録された管理者アカウントなど)

  • アカウントへのすべての書き込みをログに記録する管理アカウント

  • サーバーの攻撃面を減らすためのサービス、レジストリ、監査、ファイアウォールの設定を構成するための組み込みのセキュリティ構成ウィザード。 このウィザードは、管理ホスト戦略の一部としてジャンプ サーバーを実装する場合に使用します。

Active Directory Domain Services の監視に関する追加情報

AD DS の監視の詳細については、次のリンクを参照してください。

セキュリティ イベント ID の推奨事項の重要度の総合的な一覧

すべてのイベント ID の推奨事項には、次のような重要度の評価が伴います。

高: 重要度の評価が高いイベント ID は、常に即座に警告と調査が必要です。

中: 中程度の重要度の評価のイベント ID は、悪意のあるアクティビティを示している可能性がありますが、他の異常 (特定の期間に発生した異常な数値や、通常はイベントをログに記録しないコンピューター上で発生している異常な数値など) を伴います。 中程度の重要度のイベントは、メトリックとして収集して、時系列で比較することもできます。

低: 重要度の低いイベントを含むイベント ID は、重要度が中程度または高いイベントに関連付けられている場合を除き、注意を集めたり、警告を発生させたりしないでください。

これらの推奨事項は、管理者向けのベースライン ガイドを提供することを目的としています。 すべての推奨事項は、運用環境で実装する前に徹底的に確認してください。

監視する推奨イベントの一覧、重要度の評価、イベント メッセージの概要については、「付録 L: 監視するイベント」を参照してください。