◆ 今回の記事のポイント ◆
・ グループポリシーによる監査の有効化方法について解説
・ イベントログの確認方法について解説
・ イベントログの確認方法について解説
前回のコラムでは、GUIやCUIの管理ツールを用いたオブジェクトの作成および管理について解説しました。今回は、オブジェクトの監査について解説します。
■ オブジェクトの監査とは
オブジェクトの監査とは、Active Directoryのオブジェクトに対する操作を記録することです。小規模な環境であれば1人の管理者によって全てのオブジェクトの管理をおこなうことも可能ですが、ある程度以上の規模の場合には複数人の管理者で管理することも少なくありません。このような場合、特定のユーザーに対して必要最低限の管理権限を与えて運用します。しかし、複数人で管理することで、設定ミスやインシデントが起きる可能性は高くなることが考えられます。監査の設定をおこない、「誰が」「いつ」「どのオブジェクトに対して」「どのような」操作をおこなったのかを記録することで、設定ミスの早期発見やインシデントが起きてしまった際にどのようなことがおこなわれたかを把握するのに役立ちます。
ユーザーの作成や変更のようなActive Directoryのオブジェクトの監査をおこなうためには、以下の2つの設定が必要です。
- グループポリシーによる監査の有効化
- 監査対象のオブジェクトに対する監査設定
この2つの設定を適切に構成することにより、Active Directoryへの書き込みやプロパティの変更などを監視し、操作の内容をイベントログとして出力できます。
■ グループポリシーによる監査の有効化
グループポリシーには、監査を有効化するためのポリシー設定が用意されています。監査をおこなうには、そのポリシー設定を構成し、ドメインコントローラーに対してグループポリシーを適用する必要があります。Active Directoryのオブジェクトの監査をおこなうためには、次のいずれかのポリシー設定を構成します。ドメインコントローラー以外のコンピューターには適用する必要がないため、ポリシーの編集時はDefault Domain Controllers Policyを使用すると良いでしょう。
[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]-[ディレクトリサービスのアクセスの監査]
[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[監査ポリシーの詳細な構成]-[監査ポリシー]-[DSアクセス]-[ディレクトリサービスの変更の監査]
この2つのポリシー設定は、「カテゴリとサブカテゴリ」のような関係性になっています。以前のバージョンのWindows Serverでは前者のポリシー設定しか無かったのですが、現在は後者のポリシー設定を使うことで目的に沿ったログだけをより限定して記録できます。このコラムでもActive Directoryのユーザー作成や変更などの操作の記録を目的としているため、後者のポリシー設定を紹介します。
[ディレクトリサービスの変更の監査]をダブルクリックすると、構成のためのチェックボックスと、[成功]と[失敗]のチェックボックスが表示されます。成功と失敗の両方の操作を記録したい場合は、両方のチェックボックスをオンにします。
■ 監査対象のオブジェクトに対する監査設定
グループポリシー設定を構成しただけでは、まだ監査はおこなわれません。ポリシー設定とは別に、「どのオブジェクト」に対して「誰の」「どのような操作」を記録するかを明示的に設定する必要があります。この設定はGUIの管理ツールを使用し、監査の対象となるオブジェクトのプロパティにある[セキュリティ]タブで設定します。ただし、Active Directoryのユーザーとコンピューターの場合には既定でそのタブが表示されないため、事前に[表示]メニューから[拡張機能]をオンにしておく必要があることに注意してください。
その上で、監査の対象となるオブジェクトのプロパティを開き、[セキュリティ]タブ、[詳細設定]の順にクリックします。詳細設定画面には[監査]タブがあり、この画面で[追加]をクリックして「誰の」「どのような操作」を記録するかを設定します。たとえば、この画面でEveryoneによる成功および失敗のすべての操作を記録したい場合には、次の画面のように構成します。
■ 監査の結果の確認
上記の両方の設定を構成すると、オブジェクトに対する変更の結果がドメインコントローラーのイベントログに記録されます。イベントビューアーでは、[Windowsログ]-[セキュリティ]の配下にログが格納され、ダブルクリックするとその詳細を確認することができます。
今回のコラムでは、オブジェクトの監査について解説しました。監査するオブジェクトや記録の対象となるユーザーの範囲を広くしすぎてしまうと、結果的にログの数も多くなり、目的のログを却って見つけにくくなってしまいますので注意しましょう。次回のコラムでは、オブジェクトの復元について解説します。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは、ゾーホージャパンの前田です。今回は、オブジェクトの監査方法について学びました。グループポリシーから監査ポリシーを有効にすることで、イベントビューアーに出力されるイベントログから、オブジェクトに対する変更の詳細を確認することができます。しかし、イベントログから「いつ」「だれが」「何をおこなったのか」を正確に読み取ろうとした場合、ログに関する深い知識が不可欠です。そこで、ManageEngineが提供する「ADAudit Plus」では、200を超える豊富なレポートにより誰でも簡単にログの監査を行うためのお手伝いをします。
■ ADAudit Plusとは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。
ADAudit Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。
【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/
【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html
▼▼ 過去記事はこちら ▼▼
第9回 オブジェクトの管理(2)【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第10回 CUIによるオブジェクト管理 【MicrosoftのMVP解説!Active Directoryのハウツー読本】
▼▼ 別シリーズのブログ記事もチェック! ▼▼
第1回 AzureADを利用する意味【MicrosoftのMVP解説!AzureADの虎の巻】
第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!AzureADの虎の巻】
2011を取得しました。今回の認証取得を含め、4プロセス(インシデント管理、変更管理、要求実現、IT資産管理)においての認定となります。
