Windows サーバでファイル監査をセットアップするには

Created:

2016-11-16 12:48:24 UTC

Modified:

2017-08-20 23:55:02 UTC

5

Was this article helpful?


Have more questions?

リクエストを送信

Windows サーバでファイル監査をセットアップするには

Applicable to:

  • Plesk 12.0 for Windows

情報

セキュリティ構成とイベント監査は Parallels サポートの対応範囲外であり、お客様の会社のセキュリティ管理者に行っていただく必要があります。
ただし、ファイルとフォルダの監査を実行してサーバを許可されない利用から守る Microsoft Windows ビルトインツールに関して、いくつかの推奨事項をお知らせします。

状況に応じて、ファイルまたはフォルダを誰がいつ変更または削除したのかを知る必要があります。Microsoft Windows では、セキュリティ目的で、複数のイベントタイプを監視することができます。

本記事では、Windows 2008 R2 server でファイル監査をセットアップする方法と、ログデータを取得する方法を説明します。

  1. 「成功」または「失敗」に対して、 プロセス追跡の監査 を有効化します。
    1. [スタート] > [ファイル名を指定して実行] を開きます。
    2. secpol.msc と入力し、 Enter を押します。
    3. [セキュリティ設定] > [ローカル ポリシー] > [監査ポリシー] に進みます。
    4. [プロセス追跡の監査] キーを編集し、「成功」と「失敗」の両イベントの監査を有効化します。

    その結果、設定は次のようになります。

  2. ポリシーの変更を伝達します。
    1. [スタート] > [ファイル名を指定して実行] を開きます。
    2. gpupdate /force と入力し、 Enter を押します。
  3. 必要なイベントタイプに対して、必要なファイルとフォルダの監査をセットアップします。
    1.Windows Explorer を開き、該当ファイル(フォルダ)に進みます。
    2.ファイルを右クリックし、 [プロパティ] > [セキュリティ] タブ> [詳細設定] をクリックします。
    3. [監査] タブを開き、 [編集] ボタンを押します。
    4. [追加] をクリックして、監視するユーザとグループを選択します。通常は「 Authenticated Users 」グループを追加します。
    5. [監査エントリ] にて、必要なイベントに対して 成功 失敗 の両方に対してチェックボックスをオンにします。明示的な監査のために、すべてのチェックボックスをオンにします。

    その結果、設定は次のようになります。

これで、イベントビューアのセキュリティログで、すべてのアクセス試行が追跡されるようになります。セキュリティ管理者が、ファイルがアクセスされたかどうかを確認したい場合、一番簡単な方法としては、イベントビューアのセキュリティログをテキストまたは HTML ファイルでエクスポートし、該当するログオンおよびアクセスイベントを探します。
  1. イベント ビューア から セキュリティ ログをエクスポートします。
    1. [スタート] > [ファイル名を指定して実行] を開きます。
    2.以下の行を入力し、 Enter を押します。
    wmic ntevent where log='Security' get LogFile, SourceName, EventType,Message, TimeGenerated /format:htable > C:\SecurityLog.htm

  2. 作成される HTML ファイルで、該当するログエントリを探します。
    1.作成される HTML ファイルをウェブブラウザで開きます。
    2. Ctrl+F を押し、コンテキスト検索を実行します。
    3.必要なファイル名を入力して検索し、どのようなアクセス試行が行われたのかを確認します。
    4.この例では、 FileToTrackAccess.txt が with notepad.exe で開かれたことがわかります。

    該当箇所が見つかったら、ユーザがどの IP アドレスからログインしたのかを確認するために、ログオン ID を記録しておきます。
  3. 前のステップのログオン ID を使用して、HTML ファイルで該当するログインイベントを検索します。

    図で示すように、IP 192.168.39.235 でログオンしたユーザ Administrator が、 notepad.exe で編集を実行したことがわかります。

注:サーバが、グループポリシーの割り当てられた Active Directory ドメインのメンバーである場合、この手順が期待どおりに機能しない可能性があります。必要に応じてネットワーク管理者とご相談ください。

追加情報

上記の手順は、サーバ上のファイルやフォルダへのアクセスを監査する数々の方法のうちの 1 つです。
タスクをより効率的に実行するために、この情報を会社のセキュリティ管理者に提供することをお勧めします。

追加情報:
http://www.ultimatewindowssecurity.com/wiki/WindowsSecuritySettings/Recommended-Baseline-Audit-Policy-for-Windows-Server-2008
http://www.computerperformance.co.uk/w2k3/gp/group_policy_security_audit.htm
http://oreilly.com/pub/a/windows/2005/07/26/audit_policy.html
http://technet.microsoft.com/en-us/library/dd277403.aspx
他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。