はじめに
Windows PCやサーバー等のユーザー認証やアクセス管理に、WindowsサーバーのActive Directory(AD)を使うことが多いと思います。この場合、AD用のサーバーはシステムの入り口にあたるため不正侵入等を検知する目的でイベントログを採取することが考えられます。そのように疑わしい活動を追跡するためにWindowsにはセキュリティログの機構が用意されています。
しかし、このセキュリティログは、一部を除いて、Windows上でセキュリティポリシーの設定を行わないとイベントログとして記録できません。Microsoftのウェブ・サイトには、そのための情報が用意されていますが、当ブログにて分かり易く解説します。
今回は、Windowsでセキュリティログの設定する際に、前提となる知識とデフォルトの設定(規定値)について説明します。
イベントログの種類
Windowsのイベントログには、「Windows ログ」のApplication、セキュリティ、Setup、システムの4つのログと、「アプリケーションとサービス ログ」にある様々なアプリケーションが記録するログがあります。それぞれのアプリケーションは、目的に応じて複数のログソースとなるチャネルを持つことができます。
ちなみに、弊社製品のEventReporterでは初期設定で、全ての有効な「Windows ログ」と「アプリケーションとサービスログ」を採取します。ただし、「アプリケーションとサービス ログ」では「運用/管理」のチャネルのログのみを対象としており、「デバッグ/分析」チャネルからはデフォルトの設定ではログ取得できません。
Windowsのセキュリティログ
ハードウェアの故障やソフトウェアの不具合に関するログは、ApplicationやSetup、システムまたは「アプリケーションとサービス ログ」に出力されます。それに対して、OSやアプリの異常ではないが不正アクセス等の運用上問題となる可能性がある動作を監視するためのログが、セキュリティログです。
セキュリティログは、Windows OSが標準機能として提供するもので、OSの動作に応じて多様なイベントを記録できます。しかし、Windows OSのすべてのセキュリティ関連のログを取得すると膨大な量となります。
そこでWindowsでは、どのようなログを取るかを細かく制御できる仕組みを持っており、それをセキュリティ監査設定と呼んでいます。今回は、この監査設定の監査の種類とその設定方法、さらにはデフォルト(既定)の設定値までを説明します。
基本監査(Basic Audit)と高度な(詳細な)監査(Advanced Audit)
このWindowsのセキュリティ監査には、基本(Basic)監査と、それを詳細化した高度な(詳細な、英語ではAdvanced)監査があります。基本監査は9つのカテゴリがありその単位でのみログ(記録)するか否かを制御できます。
一方、高度な(Advanced)監査では、基本監査の9つのカテゴリに1つ追加されて合計10のカテゴリがあり、更にその下に細かくサブカテゴリを設けられています。サブカテゴリは現在全部で60あります。つまり、高度な監査においては、この60のサブカテゴリに対して個々にログするか否かを設定することになります。
9つのカテゴリだけでも理解するの容易ではなく、更に60ものサブカテゴリの意味を把握するのは至難の業です。加えて、それらのログがシステム保護に有効なのか、単なるノイズに過ぎないものかを見極めることは非常に難しい作業です。
そのためか、最近のWindowsにはセキュリティ監査のデフォルト設定があります。このデフォルトの設定はカテゴリ単位ではなくサブカテゴリ単位となっています。
以下に、各カテゴリとそれに含まれるサブカテゴリの日本語Windows OS上名前を表にまとめました。(但し、カテゴリ:グローバル オブジェクト アクセスは除く)
<表:カテゴリとサブカテゴリの一覧>
| Category名(英語) | カテゴリ名(日本語) | サブカテゴリ名(日本語) |
|---|---|---|
| System | システム | システムの整合性 |
| System | システム | セキュリティ システムの拡張 |
| System | システム | IPsec ドライバー |
| System | システム | その他のシステム イベント |
| System | システム | セキュリティ状態の変更 |
| Logon/Logoff | ログオン/ログオフ | IPsec 拡張モード |
| Logon/Logoff | ログオン/ログオフ | 特殊なログオン |
| Logon/Logoff | ログオン/ログオフ | IPsec メイン モード |
| Logon/Logoff | ログオン/ログオフ | アカウント ロックアウト |
| Logon/Logoff | ログオン/ログオフ | アクセス権 |
| Logon/Logoff | ログオン/ログオフ | グループ メンバーシップ |
| Logon/Logoff | ログオン/ログオフ | ユーザー要求/デバイスの信頼性情報 |
| Logon/Logoff | ログオン/ログオフ | ネットワーク ポリシー サーバー |
| Logon/Logoff | ログオン/ログオフ | その他のログオン/ログオフ イベント |
| Logon/Logoff | ログオン/ログオフ | ログオフ |
| Logon/Logoff | ログオン/ログオフ | IPsec クイック モード |
| Logon/Logoff | ログオン/ログオフ | ログオン |
| Object Access | オブジェクト アクセス | SAM |
| Object Access | オブジェクト アクセス | 証明書サービス |
| Object Access | オブジェクト アクセス | 生成されたアプリケーション |
| Object Access | オブジェクト アクセス | カーネル オブジェクト |
| Object Access | オブジェクト アクセス | ファイルの共有 |
| Object Access | オブジェクト アクセス | フィルタリング プラットフォーム パケットのドロップ |
| Object Access | オブジェクト アクセス | フィルタリング プラットフォームの接続 |
| Object Access | オブジェクト アクセス | その他のオブジェクト アクセス イベント |
| Object Access | オブジェクト アクセス | 詳細なファイル共有 |
| Object Access | オブジェクト アクセス | リムーバブル記憶域 |
| Object Access | オブジェクト アクセス | 集約型ポリシー ステージング |
| Object Access | オブジェクト アクセス | レジストリ |
| Object Access | オブジェクト アクセス | ファイル システム |
| Object Access | オブジェクト アクセス | ハンドル操作 |
| Privilege Use | 特権の使用 | 重要でない特権の使用 |
| Privilege Use | 特権の使用 | その他の特権の使用イベント |
| Privilege Use | 特権の使用 | 重要な特権の使用 |
| Detailed Tracking | 詳細追跡 | プロセス作成 |
| Detailed Tracking | 詳細追跡 | プロセス終了 |
| Detailed Tracking | 詳細追跡 | DPAPI アクティビティ |
| Detailed Tracking | 詳細追跡 | RPC イベント |
| Detailed Tracking | 詳細追跡 | プラグ アンド プレイ イベント |
| Detailed Tracking | 詳細追跡 | トークン権限調整済みイベント |
| Policy Change | ポリシーの変更 | フィルタリング プラットフォームのポリシーの変更 |
| Policy Change | ポリシーの変更 | MPSSVC ルールレベル ポリシーの変更 |
| Policy Change | ポリシーの変更 | ポリシーの変更の承認 |
| Policy Change | ポリシーの変更 | ポリシーの変更の認証 |
| Policy Change | ポリシーの変更 | ポリシーの変更の監査 |
| Policy Change | ポリシーの変更 | その他のポリシー変更イベント |
| Account Management | アカウント管理 | その他のアカウント管理イベント |
| Account Management | アカウント管理 | アプリケーション グループの管理 |
| Account Management | アカウント管理 | 配布グループの管理 |
| Account Management | アカウント管理 | セキュリティ グループ管理 |
| Account Management | アカウント管理 | コンピューター アカウント管理 |
| Account Management | アカウント管理 | ユーザー アカウント管理 |
| DS Access | DS アクセス | ディレクトリ サービスの変更 |
| DS Access | DS アクセス | ディレクトリ サービスのレプリケーション |
| DS Access | DS アクセス | 詳細なディレクトリ サービス レプリケーション |
| DS Access | DS アクセス | ディレクトリ サービス アクセス |
| Account Logon | アカウント ログオン | 資格情報の確認 |
| Account Logon | アカウント ログオン | Kerberos サービス チケット操作 |
| Account Logon | アカウント ログオン | その他のアカウント ログオン イベント |
| Account Logon | アカウント ログオン | Kerberos 認証サービス |
個々のサブカテゴリの内容は、Microsoftの高度な監査ポリシーの構成設定に各項目の説明があります。しかし、いきなりサブカテゴリを一つひとつ理解するよりは、まずは各カテゴリの概要を理解するのがよいでしょう。
各基本監査カテゴリの概要を理解するには、弊社の「シスログ談話室」の「Windows イベントログ」の記事の「不正侵入の調査にイベントログを活用する」が参考になります。
成功の監査、失敗の監査
Windowsのセキュリティ監査の設定には、「成功の監査」と「失敗の監査」があります。これは、ユーザーのログオンを考えてみると分かりやすいです。ログオン成功のように、監査対象のOSの動作が成功した場合にセキュリティログを発生させるのが「成功の監査」です。ログオンが失敗した場合にログを発生させるのが「失敗の監査」です。
ログオンの監査の場合は、不正アクセスの試行時には、連続するログオン失敗が兆候として表れることがあるので、成功だけでなく失敗も監査するのがよいでしょう。しかし、ログ量を減らしたいのであれば、成功の監査だけ設定して、想定外のアカウントによるログオンを監視するということも考えられます。
監査設定のGUI(ローカルセキュリティポリシー)とauditpolコマンド
このセキュリティ監査の設定や確認の方法について説明します。
WindowsのGUIでは、Win記号+rで「ファイル名を指定して実行」を開き、secpol.mscでローカルセキュリティポリシーエディターを起動することで、これらの監査設定を見ることができます。
基本監査はローカルポリシー > 監査ポリシー を開いてみることができます。一方で、高度な監査は、監査ポリシーの詳細な構成 > システム監査ポリシー – ローカルグループポリシーオブジェクトを開くことで見ることができます。
しかしながら、筆者はこのGUIによる設定状態の確認や設定変更はあまりお薦めしません。というのは、OSインストール直後のデフォルトの状態では、基本監査のカテゴリはすべて「監査しない」、高度な監査の構成はカテゴリもサブカテゴリもすべて「未構成」となっています。つまり、デフォルト値(規定値)が設定されているにかかわらず、このGUIの表示はその内容を反映していないのです。
そのほかにも、このGUIの表示はリアルタイム性がなく変更が即座に反映されません。使う場合にはその点を注意してください。設定した値をすぐにOSに反映するには、管理者権限のあるコマンドプロンプトからgpupdate /forceを実行する必要があります。
実際の設定を確認するためには、管理者権限のあるコマンドプロンプトからauditpolコマンドで表示するのが確実です。また、GUIで60あるサブカテゴリに対して必要な設定行い確認するのは、かなり煩わしい作業です。グループポリシーで複数のWindowsに同じ設定を反映するのでなければ、サブカテゴリレベルの設定にはauditpolコマンドを使うことをお薦めします。
いずれにしても、設定にグループポリシーを使うのかauditpolコマンドを使うのか決めて、同じオペレーションで設定変更を行うことが重要です。
auditpolコマンドによる設定の表示、バックアップ、リストア
auditpolコマンドですべての監査設定を表示するには、以下のコマンドを管理者権限のあるコマンドプロンプトでを実行します。
> auditpol /get /category:"*" ’*’で全カテゴリを表します。このカテゴリ名は日本語のカテゴリ名で、カタカナの単語間に半角スペースが入っているので注意してください。※
設定の変更を行う際は、事前に設定のバックアップを取っておくことをお薦めします。以下のコマンドを管理者権限のあるコマンドプロンプトで実行します。
> auditpol /backup /file:<フルパスのcsvファイル名> バックアップは、csv形式のファイルで出力されます。設定変更時は、バックアップされたcsv形式のファイルを修正しリストアして反映させます。以下を管理者権限のあるコマンドプロンプトで実行します。
> auditpol /restore /file:<フルパスの設定用のcsvファイル名>
※英語のWindows OSの場合にはもちろん、カテゴリ名もサブカテゴリ名も英語です。従って、auditpolコマンドを使う際には、どの国の版のOSなのかによってこれらの名称を使い分ける必要があります。日本語版のWindowsでは、システムロケールを英語に変更しても、これらの名称は日本語のままです。
それでは不便な場合もあるので、auditpolコマンドではこれらの名称に対応したGUIDで、カテゴリやサブカテゴリを指定することができます。サブカテゴリのGUIDは、上記のようにバックアップのcsvにも入っています。また、auditpol /listコマンドの/vオプションでカテゴリやサブカテゴリのGUIDを取得することができます。
カテゴリのGUIDをリストするコマンド
> auditpol /list /category /v全部のサブカテゴリのGUIDをリストするコマンド
> auditpol /list /subcategory:"*" /vちなみに、> auditpolのバックアップのcsvの設定値は、以下の通りです。
| 設定値 | 監査設定 |
|---|---|
| 0 | 監査なし |
| 1 | 成功の監査のみ |
| 2 | 失敗の監査のみ |
| 3 | 成功および失敗の監査 |
デフォルトの監査設定で取れるセキュリティログ
Windowsのサーバーとクライアントで、最近のOSのデフォルト設定をインストール直後の状態で確認してみたところは以下の表の通りでした。Microsoftの「高度な監査ポリシーの構成」の記述では、クライアントOSのサブカテゴリ「ログオン」のが「成功の監査」のみとなっている以外は一致してておりました。
この表から、少なくともこれらのサブカテゴリのイベントログは既定の設定でEventReporterを使って採取できることが分かります。本当に最低限でよい場合にはこのままで十分かもしれません。
GUID(部分)は、例えば「システムの整合性」の値 {0CCE9212–69AE-11D9-BED3-505054503030} から太字の4桁の16進数 9212 のみを記載しています。その4桁部分以外はすべてのサブカテゴリで共通です。
Windowsサーバー/クライアントのサブカテゴリ毎のデフォルト監査設定
| カテゴリ | サブカテゴリ | GUID(部分) | サーバー | クライアント |
|---|---|---|---|---|
| システム | システムの整合性 | 9212 | 3 | 3 |
| システム | その他のシステム イベント | 9214 | 3 | 3 |
| システム | セキュリティ状態の変更 | 9210 | 1 | 1 |
| ログオン/ログオフ | アカウント ロックアウト | 9217 | 1 | 1 |
| ログオン/ログオフ | ログオフ | 9216 | 1 | 1 |
| ログオン/ログオフ | ネットワーク ポリシー サーバー | 9243 | 3 | 3 |
| ログオン/ログオフ | 特殊なログオン | 921B | 1 | 1 |
| ログオン/ログオフ | ログオン | 9215 | 3 | 3 |
| ポリシーの変更 | ポリシーの変更の認証 | 9230 | 1 | 1 |
| ポリシーの変更 | ポリシーの変更の監査 | 922F | 1 | 1 |
| アカウント管理 | セキュリティ グループ管理 | 9237 | 1 | 1 |
| アカウント管理 | コンピューター アカウント管理 | 9236 | 1 | |
| アカウント管理 | ユーザー アカウント管理 | 9235 | 1 | 1 |
| DS アクセス | ディレクトリ サービス アクセス | 923B | 1 | |
| アカウント ログオン | 資格情報の確認 | 923F | 1 | |
| アカウント ログオン | Kerberos サービス チケット操作 | 9240 | 1 | |
| アカウント ログオン | Kerberos 認証サービス | 9242 | 1 |
- サーバーおよびクライアントの欄の数字は、「3」が「成功および失敗」、「1」が「成功」の監査がデフォルトで設定されていることを表します。この数字は、auditpolコマンドのbackup/restoreサブコマンドで使われるcsv内の設定値と同じです
- サーバー/クライアントともも「監査なし」もしくは「未構成」のサブカテゴリは表から省いています
- GUID(部分)は、GUIDの5~8桁目の4桁の16進数です
- サーバーの欄は、Windows Server 2019および2025の2025年6月~8月に調査した値です
- クライアントの欄は、Windows 10および11の2025年3月~8月に調査した値です
- Microsoftのシステム監査ポリシーの推奨事項の表中の各サブカテゴリ毎の「Windows Server」と「Windows クライアント」の 「Windowsの規定値」は、この表よりも監査ありの設定箇所がかなり少なく書かれています
リファレンス
更なる詳細や関連するTIPSはマイクロソフトの「高度な監査ポリシー」関連や「auditpol」のユーザーガイドや、弊社のインベントログに関する紹介記事を参考にしてください。
- Windows Server 2016,2019,2022,2025対応の高度な監査ポリシーの構成についての説明
- 弊社の「シスログ談話室」の「Windowsイベントログ」の紹介記事
- Windows の auditpolコマンドのユーザーガイド
おわりに
最後までお読みいただき、ありがとうございました。
次回は、Microsoftの推奨設定とその簡単な設定方法について紹介します。また、デフォルトの設定や推奨の設定でどのイベントIDのイベントログが採取できるかについては、次々回にご紹介する予定です。
30日無償で利用いただける評価版を以下のダウンロードリンクに用意しております。
簡単に検証が開始できますので、ぜひお気軽にお試しください。
