監査ポリシーの推奨事項
このセクションでは、ワークステーションとサーバーの製品について、Windows の既定の監査ポリシーの設定、ベースラインとして推奨される監査ポリシーの設定、Microsoft からの積極的な推奨事項について説明します。
ここに示されている SCM のベースラインの推奨事項と、セキュリティの侵害を検出するために推奨される設定は、管理者向けの最初のベースライン ガイドになることを目的としています。 各組織では、直面する脅威、受け入れ可能なリスクの許容範囲、有効にする必要がある監査ポリシーのカテゴリまたはサブカテゴリに関係なく、自身で判断する必要があります。 脅威の詳細については、脅威と対策に関するガイドを参照してください。 適切な監査ポリシーを設定していない管理者は、運用環境で実装する前に、ここで推奨されている設定から開始し、変更してテストすることをお勧めします。
推奨事項は、エンタープライズ クラスのコンピューターを対象としており、Microsoft では、平均的なセキュリティ要件で、高いレベルの運用機能を必要とするコンピューターとして定義しています。 高いセキュリティ要件を必要とするエンティティは、積極的な監査ポリシーを検討する必要があります。
注意
Microsoft Windows の既定値とベースラインの推奨事項は、Microsoft Security Compliance Manager ツールから取得しています。
次のベースライン監査ポリシーの設定は、特定された敵対者またはマルウェアによるアクティブな攻撃が成功したと認識されていない標準のセキュリティのコンピューターで推奨されます。
オペレーティング システム別の推奨される監査ポリシー
このセクションでは、次のオペレーティング システムに適用される監査設定の推奨事項を一覧表示した表について説明します。
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008
- Windows 10
- Windows 8.1
- Windows 7
これらの表には、Windows の既定の設定、ベースラインの推奨事項、これらのオペレーティング システムに対する強力な推奨事項が含まれています。
監査ポリシーの表の凡例
| Notation | 推奨 |
|---|---|
| はい | 一般的なシナリオで有効にする |
| いいえ | 一般的なシナリオで有効にしない |
| If | 特定のシナリオで必要な場合、または監査が必要な役割または機能がマシンにインストールされている場合に有効にする |
| DC | ドメイン コントローラーで有効にする |
| [空白] | 推奨なし |
Windows 10、Windows 8、Windows 7 の監査設定の推奨事項
監査ポリシー
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| アカウント ログオン | |||
| 資格情報の確認の監査 | No | No |
Yes | No |
Yes | Yes |
| Kerberos 認証サービスの監査 | Yes | Yes |
||
| Kerberos サービス チケット操作の監査 | Yes | Yes |
||
| その他のアカウント ログオン イベントの監査 | Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| アカウント管理 | |||
| アプリケーション グループの管理の監査 | |||
| コンピューター アカウント管理の監査 | Yes | No |
Yes | Yes |
|
| 配布グループの管理の監査 | |||
| その他のアカウント管理イベントの監査 | Yes | No |
Yes | Yes |
|
| セキュリティ グループの管理の監査 | Yes | No |
Yes | Yes |
|
| ユーザー アカウントの管理の監査 | Yes | No |
Yes | No |
Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| 詳細な追跡 | |||
| DPAPI アクティビティの監査 | Yes | Yes |
||
| プロセス作成の監査 | Yes | No |
Yes | Yes |
|
| プロセス終了の監査 | |||
| RPC イベントの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| DS アクセス | |||
| 詳細なディレクトリ サービス レプリケーションの監査 | |||
| ディレクトリ サービスへのアクセスの監査 | |||
| ディレクトリ サービスの変更の監査 | |||
| ディレクトリ サービス レプリケーションの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| ログオンとログオフ | |||
| アカウント ロックアウトの監査 | Yes | No |
Yes | No |
|
| ユーザー/デバイスの要求の監査 | |||
| IPsec 拡張モードの監査 | |||
| IPsec メイン モードの監査 | IF | IF |
||
| IPsec クイック モードの監査 | |||
| ログオフの監査 | Yes | No |
Yes | No |
Yes | No |
| ログオンの監査 1 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| ネットワーク ポリシー サーバーの監査 | Yes | Yes |
||
| その他のログオン/ログオフ イベントの監査 | |||
| 特殊なログオンの監査 | Yes | No |
Yes | No |
Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| オブジェクト アクセス | |||
| 生成されたアプリケーションの監査 | |||
| 証明書サービスの監査 | |||
| 詳細なファイル共有の監査 | |||
| ファイル共有の監査 | |||
| ファイル システムの監査 | |||
| フィルタリング プラットフォーム接続の監査 | |||
| フィルタリング プラットフォームのパケット破棄の監査 | |||
| ハンドル操作の監査 | |||
| カーネル オブジェクトの監査 | |||
| その他のオブジェクト アクセス イベントの監査 | |||
| レジストリの監査 | |||
| リムーバブル記憶域の監査 | |||
| SAM の監査 | |||
| 集約型アクセス ポリシーのステージングの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| ポリシーの変更 | |||
| 監査ポリシーの変更の監査 | Yes | No |
Yes | Yes |
Yes | Yes |
| 認証ポリシー変更の監査 | Yes | No |
Yes | No |
Yes | Yes |
| 認可ポリシー変更の監査 | |||
| フィルタリング プラットフォームのポリシー変更の監査 | |||
| MPSSVC ルールレベル ポリシーの変更の監査 | Yes |
||
| その他のポリシー変更イベントの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| 特権の使用 | |||
| 重要でない特権の使用の監査 | |||
| その他の特権の使用イベントの監査 | |||
| 重要な特権の使用の監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| システム | |||
| IPsec ドライバーの監査 | Yes | Yes |
Yes | Yes |
|
| その他のシステム イベントの監査 | Yes | Yes |
||
| セキュリティ状態の変更の監査 | Yes | No |
Yes | Yes |
Yes | Yes |
| セキュリティ システム拡張機能の監査 | Yes | Yes |
Yes | Yes |
|
| システムの整合性の監査 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| グローバル オブジェクト アクセスの監査 | |||
| IPsec ドライバーの監査 | |||
| その他のシステム イベントの監査 | |||
| セキュリティ状態の変更の監査 | |||
| セキュリティ システム拡張機能の監査 | |||
| システムの整合性の監査 |
1 Windows 10 バージョン 1809 より、[ログオンの監査] は [成功] と [失敗] の両方で既定で有効になっています。 以前のバージョンの Windows では、既定で [成功] のみが有効になっています。
Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 の監査設定の推奨事項
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| アカウント ログオン | |||
| 資格情報の確認の監査 | No | No |
Yes | Yes |
Yes | Yes |
| Kerberos 認証サービスの監査 | Yes | Yes |
||
| Kerberos サービス チケット操作の監査 | Yes | Yes |
||
| その他のアカウント ログオン イベントの監査 | Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| アカウント管理 | |||
| アプリケーション グループの管理の監査 | |||
| コンピューター アカウント管理の監査 | Yes | DC |
Yes | Yes |
|
| 配布グループの管理の監査 | |||
| その他のアカウント管理イベントの監査 | Yes | Yes |
Yes | Yes |
|
| セキュリティ グループの管理の監査 | Yes | Yes |
Yes | Yes |
|
| ユーザー アカウントの管理の監査 | Yes | No |
Yes | Yes |
Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| 詳細な追跡 | |||
| DPAPI アクティビティの監査 | Yes | Yes |
||
| プロセス作成の監査 | Yes | No |
Yes | Yes |
|
| プロセス終了の監査 | |||
| RPC イベントの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| DS アクセス | |||
| 詳細なディレクトリ サービス レプリケーションの監査 | |||
| ディレクトリ サービスへのアクセスの監査 | DC | DC |
DC | DC |
|
| ディレクトリ サービスの変更の監査 | DC | DC |
DC | DC |
|
| ディレクトリ サービス レプリケーションの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| ログオンとログオフ | |||
| アカウント ロックアウトの監査 | Yes | No |
Yes | No |
|
| ユーザー/デバイスの要求の監査 | |||
| IPsec 拡張モードの監査 | |||
| IPsec メイン モードの監査 | IF | IF |
||
| IPsec クイック モードの監査 | |||
| ログオフの監査 | Yes | No |
Yes | No |
Yes | No |
| ログオンの監査 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| ネットワーク ポリシー サーバーの監査 | Yes | Yes |
||
| その他のログオン/ログオフ イベントの監査 | Yes | Yes |
||
| 特殊なログオンの監査 | Yes | No |
Yes | No |
Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| オブジェクト アクセス | |||
| 生成されたアプリケーションの監査 | |||
| 証明書サービスの監査 | |||
| 詳細なファイル共有の監査 | |||
| ファイル共有の監査 | |||
| ファイル システムの監査 | |||
| フィルタリング プラットフォーム接続の監査 | |||
| フィルタリング プラットフォームのパケット破棄の監査 | |||
| ハンドル操作の監査 | |||
| カーネル オブジェクトの監査 | |||
| その他のオブジェクト アクセス イベントの監査 | |||
| レジストリの監査 | |||
| リムーバブル記憶域の監査 | |||
| SAM の監査 | |||
| 集約型アクセス ポリシーのステージングの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| ポリシーの変更 | |||
| 監査ポリシーの変更の監査 | Yes | No |
Yes | Yes |
Yes | Yes |
| 認証ポリシー変更の監査 | Yes | No |
Yes | No |
Yes | Yes |
| 認可ポリシー変更の監査 | |||
| フィルタリング プラットフォームのポリシー変更の監査 | |||
| MPSSVC ルールレベル ポリシーの変更の監査 | Yes |
||
| その他のポリシー変更イベントの監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| 特権の使用 | |||
| 重要でない特権の使用の監査 | |||
| その他の特権の使用イベントの監査 | |||
| 重要な特権の使用の監査 |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| システム | |||
| IPsec ドライバーの監査 | Yes | Yes |
Yes | Yes |
|
| その他のシステム イベントの監査 | Yes | Yes |
||
| セキュリティ状態の変更の監査 | Yes | No |
Yes | Yes |
Yes | Yes |
| セキュリティ システム拡張機能の監査 | Yes | Yes |
Yes | Yes |
|
| システムの整合性の監査 | Yes | Yes |
Yes | Yes |
Yes | Yes |
| 監査ポリシーのカテゴリまたはサブカテゴリ | Windows の既定
|
ベースラインの推奨事項
|
強力な推奨事項
|
|---|---|---|---|
| グローバル オブジェクト アクセスの監査 | |||
| IPsec ドライバーの監査 | |||
| その他のシステム イベントの監査 | |||
| セキュリティ状態の変更の監査 | |||
| セキュリティ システム拡張機能の監査 | |||
| システムの整合性の監査 |
ワークステーションとサーバーの監査ポリシーを設定する
すべてのイベント ログ管理計画では、ワークステーションとサーバーを監視する必要があります。 よくある間違いは、サーバーまたはドメイン コントローラーのみを監視することです。 悪意のあるハッキングは最初にワークステーション上で発生することが多いため、ワークステーションを監視しないと、最も早い適切な情報源が無視されます。
管理者は、運用環境で実装する前に、監査ポリシーを徹底的に確認してテストする必要があります。
監視するイベント
セキュリティの警告を生成するための完全なイベント ID には、次の属性が含まれている必要があります。
イベントの発生が未承認のアクティビティを示す可能性が高いこと
偽陽性の数が少ないこと
調査またはフォレンジクスの応答が得られること
次の 2 種類のイベントを監視し、警告する必要があります。
1 回の発生であっても許可されていないアクティビティを示すイベント
予想および許容される基準を超えて繰り返し発生するイベント
最初のイベントの例を次に示します。
ドメイン コントローラーではないコンピューターへのログオンをドメイン管理者 (DA) が許可されていない場合、エンド ユーザーのワークステーションへの DA メンバーのログオンが 1 回発生すると、警告が生成され、調査されます。 この種のアラートは、特殊なログオンの監査イベント 4964 (特殊グループが新しいログオンに割り当てられている) を使用して簡単に生成できます。 単一インスタンスの警告の他の例を次に示します。
サーバー A がサーバー B に接続しないようにする場合、相互に接続すると警告します。
通常のエンド ユーザー アカウントが、機密性の高いセキュリティ グループに予期せず追加されると警告します。
工場 A の従業員が夜間に作業しない場合、ユーザーが深夜にログオンすると警告します。
承認されていないサービスがドメイン コントローラーにインストールされると警告します。
通常のエンド ユーザーが明確な理由がなく SQL Server に直接ログオンしようとすると調査します。
メンバーのいない DA グループに他のユーザーが自身を追加すると、即座にチェックします。
2 番目のイベントの例を次に示します。
失敗したログオンの数が異常に多い場合は、パスワード類推攻撃を示している可能性があります。 失敗したログオンの数が異常に多い場合に企業が警告するには、悪意のあるセキュリティ イベントが発生する前に、環境内で失敗したログオンの通常のレベルを最初に把握しておく必要があります。
侵害の兆候を監視するときに含める必要があるイベントの総合的な一覧については、「付録 L: 監視するイベント」を参照してください。
監視する Active Directory のオブジェクトと属性
次に示すのは、Active Directory Domain Services のインストールを侵害する試みを検出できるように監視が必要なアカウント、グループ、属性です。
ウイルス対策およびマルウェア対策ソフトウェアを無効または削除するシステム (手動で無効になっている場合は自動的に再起動)
許可されていない変更の管理者アカウント
特権アカウントを使用して実行されるアクティビティ (疑わしいアクティビティが完了したとき、または割り当てられた時間が経過したときにアカウントを自動的に削除)
AD DS の特権および VIP アカウント。 変更、特に [アカウント] タブの属性 (cn、name、sAMAccountName、userPrincipalName、userAccountControl) に対する変更を監視します。 アカウントの監視に加えて、アカウントを変更できるユーザーを可能な限り少数の管理ユーザーに制限します。
監視する推奨イベントの一覧、重要度の評価、イベントメッセージの概要については、「付録 L: 監視するイベント」を参照してください。
ワークロードの分類によるグループ サーバー (最も注意深い監視と厳格な構成が必要なサーバーを簡単に識別できます)
次の AD DS グループのプロパティとメンバーシップの変更: Enterprise Admins (EA)、Domain Admins (DA)、管理者 (BA)、Schema Admins (SA)
アカウントを有効にするために無効になっている特権アカウント (Active Directory とメンバー システムであらかじめ登録された管理者アカウントなど)
アカウントへのすべての書き込みをログに記録する管理アカウント
サーバーの攻撃面を減らすためのサービス、レジストリ、監査、ファイアウォールの設定を構成するための組み込みのセキュリティ構成ウィザード。 このウィザードは、管理ホスト戦略の一部としてジャンプ サーバーを実装する場合に使用します。
Active Directory Domain Services の監視に関する追加情報
AD DS の監視の詳細については、次のリンクを参照してください。
グローバルオブジェクトアクセスの監査はマジック- Windows 7 と Windows Server 2008 R2 に追加された高度な監査ポリシーの構成と使用に関する情報を提供します。
Windows 2008 での変更の監査の概要 - Windows Server 2008 で監査の変更が導入されています。
Vista と 2008 の優れた監査手法 - 問題のトラブルシューティングや環境内の状況の確認に使用できる Windows vista と Windows Server 2008 での監査の興味深い新機能について説明します。
Windows Server 2008 と Windows Vista の監査のワンストップ ショップ - 監査機能、および Windows Server 2008 と Windows Vista に含まれる情報のコンパイルが含まれています。
AD DS 監査ステップ バイ ステップ ガイド - Windows Server 2008 の新しい Active Directory Domain Services (AD DS) の監査機能について説明します。 また、この新しい機能を実装する手順を示します。
セキュリティ イベント ID の推奨事項の重要度の総合的な一覧
すべてのイベント ID の推奨事項には、次のような重要度の評価が伴います。
高: 重要度の評価が高いイベント ID は、常に即座に警告と調査が必要です。
中: 中程度の重要度の評価のイベント ID は、悪意のあるアクティビティを示している可能性がありますが、他の異常 (特定の期間に発生した異常な数値や、通常はイベントをログに記録しないコンピューター上で発生している異常な数値など) を伴います。 中程度の重要度のイベントは、メトリックとして収集して、時系列で比較することもできます。
低: 重要度の低いイベントを含むイベント ID は、重要度が中程度または高いイベントに関連付けられている場合を除き、注意を集めたり、警告を発生させたりしないでください。
これらの推奨事項は、管理者向けのベースライン ガイドを提供することを目的としています。 すべての推奨事項は、運用環境で実装する前に徹底的に確認してください。
監視する推奨イベントの一覧、重要度の評価、イベント メッセージの概要については、「付録 L: 監視するイベント」を参照してください。