集約型の監査ポリシーを使用したセキュリティ監査の展開 (デモンストレーション手順)

このシナリオでは、「集約型アクセス ポリシーの展開 (デモンストレーション手順)」で作成した財務ポリシーを使用して財務ドキュメント フォルダー内のファイルへのアクセスを監査します。 このフォルダーへのアクセスが許可されていないユーザーがこのフォルダーにアクセスしようとすると、イベント ビューアーでそのアクティビティがキャプチャされます。 このシナリオをテストするには、次の手順が必要です。

タスク 説明
グローバル オブジェクト アクセスの構成 この手順では、ドメイン コントローラーでグローバル オブジェクト アクセス ポリシーを構成します。
グループ ポリシー設定の更新 ファイル サーバーにサインインし、グループ ポリシーの更新を適用します。
グローバル オブジェクト アクセス ポリシーが適用されたことの検証 イベント ビューアーで関連するイベントを確認します。 これらのイベントには、国とドキュメント タイプのメタデータが含まれている必要があります。

グローバル オブジェクト アクセス ポリシーの構成

この手順では、ドメイン コントローラーでグローバル オブジェクト アクセス ポリシーを構成します。

グローバル オブジェクト アクセス ポリシーを構成するには

  1. パスワード pass@word1 を使用し、contoso\administrator としてドメイン コントローラー DC1 にサインインします。

  2. サーバー マネージャーで、[ツール] をポイントし、[グループ ポリシーの管理] をクリックします。

  3. コンソール ツリーで、[ドメイン][contoso.com] の順にダブルクリックし、[Contoso] をクリックして、[ファイル サーバー] をダブルクリックします。

  4. [FlexibleAccessGPO] を右クリックし、[編集] をクリックします。

  5. [コンピューターの構成][ポリシー][Windows の設定] の順にダブルクリックします。

  6. [セキュリティの設定][監査ポリシーの詳細な構成][監査ポリシー] の順にダブルクリックします。

  7. [オブジェクト アクセス][ファイル システムの監査] の順にダブルクリックします。

  8. [次の監査イベントを構成する] チェック ボックスをオンにし、[成功] チェック ボックスと [失敗] チェック ボックスをオンにして、[OK] をクリックします。

  9. ナビゲーション ウィンドウで、[グローバル オブジェクト アクセスの監査][ファイル システム] の順にダブルクリックします。

  10. [このポリシーの設定を定義する] チェック ボックスをオンにし、[構成] をクリックします。

  11. [グローバル ファイルの SACL のセキュリティの詳細設定] ボックスで、[追加][プリンシパルの選択] の順にクリックし、「Everyone」と入力して、[OK] をクリックします。

  12. [グローバル ファイルの SACL の監査エントリ] ボックスで、[アクセス許可] ボックスの [フル コントロール] をクリックします。

  13. [条件の追加] セクションで [条件の追加] をクリックし、ドロップダウン リストで [リソース][部署][次のいずれか][値][財務] をクリックします。

  14. [OK] を 3 回クリックして、グローバル オブジェクト アクセス監査ポリシー設定の構成を完了します。

  15. ナビゲーション ウィンドウで [オブジェクト アクセス] をクリックし、結果ウィンドウで [ハンドル操作の監査] をダブルクリックします。 [次の監査イベントを構成する][成功][失敗] をクリックして [OK] をクリックし、柔軟なアクセス GPO を閉じます。

グループ ポリシー設定の更新

この手順では、監査ポリシーを作成した後でグループ ポリシー設定を更新します。

グループ ポリシーの設定を更新するには

  1. パスワード pass@word1 を使用し、contoso\Administrator としてファイル サーバー FILE1 にサインインします。

  2. Windows キーを押しながら R キーを押し、「cmd」と入力してコマンド プロンプト ウィンドウを開きます。

    注意

    [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

  3. gpupdate /force」と入力し、Enter キーを押します。

グローバル オブジェクト アクセス ポリシーが適用されたことの検証

グループ ポリシーの設定が適用された後、監査ポリシーの設定が正しく適用されたことを検証できます。

グローバル オブジェクト アクセス ポリシーが適用されたことを検証するには

  1. クライアント コンピューター CLIENT1 に Contoso\MReid としてサインインします。 フォルダー HYPERLINK "file:///\\\\ID_AD_FILE1\\Finance" \\ FILE1\Finance Documents に移動し、Word Document 2 を変更します。

  2. contoso\administrator としてファイル サーバー FILE1 にサインインします。 イベント ビューアーを開き、[Windows ログ] に移動して [セキュリティ] をクリックし、アクティビティの結果として監査イベント 46564663 が発生したことを確認します (作成、変更、または削除したファイルまたはフォルダーについて明示的な監査 SACL を設定しなかった場合でも、これらの監査イベントが発生します)。

重要

有効なアクセス許可が確認されているユーザーのために、リソースが配置されているコンピューター上で新しいログオン イベントが生成されます。 ユーザー サインイン アクティビティのセキュリティ監査ログを分析する場合、有効なアクセス許可が原因となって生成されるログオン イベントと対話型のネットワーク ユーザー サインインが原因となって生成されるログオン イベントを区別するために、偽装レベル情報が含められます。 有効なアクセス許可が原因となってログオン イベントが生成される場合、偽装レベルは Identity です。 対話型のネットワーク ユーザー サインインでは、通常、偽装レベルが Impersonation または Delegation のログオン イベントが生成されます。