監査

  • [アーティクル]

Windows フィルタリング プラットフォーム (WFP) は、ファイアウォールと IPsec 関連のイベントの監査を提供します。 これらのイベントは、システム セキュリティ ログに格納されます。

監査されるイベントは次のとおりです。

監査カテゴリ 監査のサブカテゴリ 監査されたイベント
ポリシーの変更
{6997984D-797A-11D9-BED3-505054503030}
 フィルタ リング プラットフォームのポリシーの変更
{0CCE9233-69AE-11D9-BED3-505054503030}
 メモ:数値は、イベント ビューアー (eventvwr.exe) によって表示されるイベント ID を表します。
WFP オブジェクトの追加と削除:
- 5440 永続的な吹き出しが追加されました
- 5441 ブート時または永続的なフィルターが追加されました
- 5442 永続的プロバイダーが追加されました
- 5443 永続的プロバイダー コンテキストが追加されました
- 5444 永続サブレイヤーが追加されました
- 5446 ランタイム吹き出しの追加または削除
- 5447 ランタイム フィルターの追加または削除
- 5448 ランタイム プロバイダーの追加または削除
- 5449 ランタイム プロバイダー コンテキストの追加または削除
- 5450 ランタイム サブレイヤーの追加または削除
オブジェクト アクセス
{6997984A-797A-11D9-BED3-505054503030}
 フィルタ リング プラットフォームのパケットのドロップ
{0CCE9225-69AE-11D9-BED3-505054503030}
 WFP によって破棄されたパケット:
  • 5152 パケットドロップ
  • 5153 パケット拒否
オブジェクト アクセス
 プラットフォームの接続をフィルター処理
{0CCE9226-69AE-11D9-BED3-505054503030}
 許可された接続とブロックされた接続:
- 5154 リッスンが許可されている
- 5155 Listen blocked
- 5156 接続が許可されています
- 5157 接続がブロックされました
- 5158 バインドが許可されている
- 5159 バインドがブロックされました
メモ: 許可された接続では、関連付けられているフィルターの ID が常に監査されるとは限りません。 これらのフィルター条件のサブセット (UserID、AppID、プロトコル、リモート ポート) が使用されない限り、TCP の FilterID は 0 になります。
オブジェクト アクセス
 その他のオブジェクト アクセス イベント
{0CCE9227-69AE-11D9-BED3-505054503030}
 メモ: このサブカテゴリを使用すると、多くの監査が可能になります。 WFP 固有の監査を以下に示します。
サービス拒否防止の状態:
- 5148 WFP DoS 防止モードが開始されました
- 5149 WFP DoS 防止モードが停止しました
ログオン/ログオフ
{69979849-797A-11D9-BED3-505054503030}
 IPsec メイン モード
{0CCE9218-69AE-11D9-BED3-505054503030}
 IKE および AuthIP メイン モード ネゴシエーション:
  • 4650、4651 セキュリティ アソシエーションが確立されました
  • 4652、4653 ネゴシエーションに失敗しました
  • 4655 セキュリティ関連付けが終了しました
ログオン/ログオフ
 IPsec クイック モード
{0CCE9219-69AE-11D9-BED3-505054503030}
 IKE および AuthIP クイック モード ネゴシエーション:
  • 5451 セキュリティ アソシエーションが確立されました
  • 5452 セキュリティ関連付けが終了しました
  • 4654 ネゴシエーションに失敗しました
ログオン/ログオフ
 IPsec の拡張モード
{0CCE921A-69AE-11D9-BED3-505054503030}
 AuthIP 拡張モード ネゴシエーション:
  • 4978 ネゴシエーション パケットが無効です
  • 4979、4980、4981、4982 セキュリティ アソシエーションが確立されました
  • 4983、4984 ネゴシエーションに失敗しました
システム
{69979848-797A-11D9-BED3-505054503030}
 IPsec ドライバー
{0CCE9213-69AE-11D9-BED3-505054503030}
 IPsec ドライバーによって破棄されたパケット:
  • 4963 受信クリア テキスト パケットドロップ

既定では、WFP の監査は無効になっています。

監査は、グループ ポリシー オブジェクト エディター MMC スナップイン、ローカル セキュリティ ポリシー MMC スナップイン、または auditpol.exe コマンドのいずれかを使用して、カテゴリごとに有効にすることができます。

たとえば、ポリシー変更イベントの監査を有効にするには、次の方法があります。

  • グループ ポリシー オブジェクト エディターを使用する

    1. gpedit.msc を実行します。
    2. [ローカル コンピューター ポリシー] を展開します。
    3. [コンピューターの構成] を展開します。
    4. [Windows の設定] を展開します。
    5. [セキュリティの設定] を展開します。
    6. [ローカル ポリシー] を展開します。
    7. [監査ポリシー]をクリックします。
    8. [プロパティ] ダイアログ ボックスを起動するには、[ポリシー変更の監査] をダブルクリックします。
    9. [成功] と [失敗] チェックボックスをオンにします。

  • ローカル セキュリティ ポリシーを使用する

    1. secpol.msc を実行します。
    2. [ローカル ポリシー] を展開します。
    3. [監査ポリシー]をクリックします。
    4. [プロパティ] ダイアログ ボックスを起動するには、[ポリシー変更の監査] をダブルクリックします。
    5. [成功] と [失敗] チェックボックスをオンにします。

  • auditpol.exe コマンドを使用する

    • auditpol /set /category:"Policy Change" /success:enable /failure:enable

監査は、サブカテゴリごとに有効にできるのは、auditpol.exe コマンドを使用する場合のみです。

監査カテゴリとサブカテゴリ名はローカライズされます。 監査スクリプトのローカライズを回避するために、名前の代わりに対応する GUID を使用できます。

たとえば、フィルター 処理プラットフォーム ポリシー変更イベントの監査を有効にするには、次のいずれかのコマンドを使用できます。

  • auditpol /set /subcategory:"Filtering Platform Policy Change" /success:enable /failure:enable
  • auditpol /set /subcategory:"{0CCE9233-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable

Auditpol

イベント ログ

グループ ポリシー