Win2008システム監査機能の魔法のシ​​ステム導入

設定監査機能の有効化

Windows Server 2008システムの監査機能はデフォルトでは有効になっていません。特定のシステムイベントに対して有効にして設定する必要があります。監査機能は、同機能が同種のシステムイベントを監視および記録するようにし、ネットワーク管理者は将来対応するシステムのログレコードを開くことによって監査機能の監視結果を表示することができます。監査機能は、サーバシステムの運用状況を追跡・監視するだけでなく、サーバシステムの運用状況に応じて運用上の不具合を迅速に解消することができます。もちろん、監査機能を有効にするとサーバーシステムの貴重なリソースが消費され、サーバーシステムの実行パフォーマンスが低下することを友人に注意する必要があります。結果の監視と記録このため、サーバーシステムスペースのリソースが限られている場合は、監査機能を慎重に使用して、この機能が特に重要な操作を監視および記録するようにする必要があります。

Windows Server 2008システムの監査機能を有効にして設定すると、システムのスーパー特権で対応するシステムにログインし、システムデスクトップの[スタート]メニューを開き、メニューから[選択]をクリックします。 [コントロールパネル]コマンドを設定し、[システムコントロールパネル]ポップアップウィンドウの[システムとメンテナンス]ボタンをクリックして、表示される管理ツールのリストにある[管理ツール]アイコンをクリックします。 [ローカルセキュリティポリシー]アイコンを探し、そのアイコンをダブルクリックして[ローカルセキュリティポリシーコンソール]ウィンドウを開きます。

次に、ターゲットコンソールウィンドウの左ペインで、[セキュリティ設定] - [ローカルポリシー] - [監査ポリシー]の順に選択し、[監査ポリシー]をクリックします。ポリシーと分岐のオプションの右側のウィンドウに、Windows Server 2008システムには9つの監査ポリシーが含まれていることがわかります。つまり、サーバーシステムでは9つの主要な操作を追跡および記録できます。
図1ローカルセキュリティポリシー

監査プロセス追跡ポリシーは、サーバーシステムのバックグラウンドの実行やシャットダウン、ハンドルの処理など、サーバーシステムのデーモンの実行状態を追跡するために特に使用されます。ファイルコピーまたはシステムリソースアクセスのどちらが実行されても、監査機能はそれらを追跡および記録し、監視および記録された内容を対応するシステムログファイルに自動的に保存できます。

監査アカウント管理ポリシーは、サーバーシステムのログインアカウントの変更、削除、および追加を追跡および監視するために特に使用され、ユーザーアカウントの追加、ユーザーアカウントの削除、およびユーザーアカウントの操作の変更の操作をすべてレビューします。機能は自動的に記録されます。

監査特権使用ポリシーは、ログアウト操作およびサーバーシステムの実行中のログイン操作に加えて、ユーザーによって実行されたその他の特権操作の追跡および監視に特に使用されます。操作は監査機能レコードによってシステムのセキュリティログに保存されるため、ネットワーク管理者はログの内容に基づいてサーバーのセキュリティに影響する手がかりを簡単に見つけることができます。

さまざまな監査ポリシーが有効になっていると、Windows Server 2008システムはさまざまな種類の操作を追跡して記録しますので、ネットワーク管理者は、それぞれのセキュリティ要件とサーバーシステムのパフォーマンスに従って監査を有効にします。監査機能の役割が十分に活用されていないように、すべての監査戦略を盲目的に有効にするのではなく、戦略。
図2ログインイベントプロパティの監査

たとえば、サーバーシステムのログインステータスを追跡および監視して、LANに不正なログイン動作があるかどうかを確認したい場合は、マウスを直接使用できます。ここで監査ログインイベントポリシーをダブルクリックして、対応するポリシーのオプション設定ダイアログボックスを開き（図2を参照）、[成功]>;成功および[失敗]オプションを選択して、[OK]ボタンをクリックします。その結果、Windows Server 2008システムは、将来のローカルサーバーシステムのすべてのシステムログイン操作を自動的に追跡してログに記録し、ログインサーバーの正常な操作かログインサーバーの失敗した操作かに関係なく、イベントビューアで対応する操作を見つけることができます。これらのログイン操作の記録を注意深く記録して記録すると、ローカルサーバーに違法なログインや違法な侵入があるかどうかを確認できます。

監査機能の記録を表示する

適切な監査ポリシーを有効にして設定すると、Windows Server 2008は自動的に特定の種類の操作を追跡して記録し、その記録を対応する操作に保存します。システムのログファイルが含まれています将来、ネットワーク管理者はログの内容に基づいてサーバーシステムにセキュリティ上の脅威があるかどうかを確認できます。監査機能によって記録されたログの内容を表示するときは、イベントビューア機能を使用して次の手順を実行する必要があります。

最初にスーパー管理者権限でWindows Server 2008システムに入ります。システムデスクトップの[スタート] - [プログラム] - [管理] - [サーバーマネージャ]コマンドをクリックして、対応するシステムのサーバーマネージャコンソールウィンドウを開きます。

次に、コンソールウィンドウの左側にある表示領域で、[診断]分岐オプションの上にマウスを置き、分岐オプションから[イベントビューア] /[ウィンドウログ]をクリックします。;サブアイテム、ターゲットサブアイテムの下に、 "Applications"、 "Safety"、 "Installer"、 "System"、 "Return Events"が表示されます。イベントレコード、図3に示すように、

図3サーバーマネージャ

カテゴリオプションをマウスで選択すると、図3のインターフェイスの中央から表示できます。表示領域には、該当するカテゴリのすべてのイベントレコードが明確に表示されます。指定したレコードオプションをマウスでダブルクリックすると、ターゲットイベントレコードの詳細情報インターフェイスが開き、ターゲットイベントのソースを詳細に表示できます。 、特定のイベントの内容、イベントID、その他の関連情報。

重要なイベントのコンテンツを発見するときに、それに対していくつかの操作を実行することもできます（たとえば、空き時間に重要なイベントのコンテンツを分析するために、まず重要なイベントを保存できます）。重要なイベントコンテンツを保存するときは、目的のイベントコンテンツを右クリックし、ポップアップショートカットメニューから実行して'コマンドとしてイベントを保存し、保存パスを設定して特定のファイル名については、「保存」ボタンをクリックします将来的には以前に保存されたログファイルを呼び出すために右クリックメニューの「保存されたログを保存」コマンドを実行するだけです。サーバーシステムに保存されているイベントが多すぎることがわかった場合は、右クリックメニューの[ログの消去]コマンドを定期的に実行してログレコードを消去し、より貴重なスペースリソースを解放する必要があります。多数のログレコードがある場合は、目的のイベントレコードをすばやく見つけるのは簡単ではありませんが、この時点で "現在のログのフィルタ"コマンドを実行してログレコードをフィルタ処理することがあります。

実用的なアプリケーション監査機能

サーバーシステムはLAN環境での攻撃に対して脆弱であり、ネットワーク管理者は監査機能を使用できるため、監査機能は実際の環境におけるWindows Server 2008システムにとって特に重要です。さまざまな攻撃を追跡および監視し、潜在的なセキュリティ上の脅威を伴うイベントが発生した場合、監査機能によって監視されるイベントをネットワーク管理者に通知する方法を見つけることができ、ネットワーク管理者はすぐにインシデントの原因を見つけることができます。サーバーシステムを違法な攻撃から保護するための適切な薬を使って問題を解決してください。

たとえば、一部のトロイの木馬は、サーバーシステムのスーパー管理者権限を盗むためにサーバーシステムに密かにユーザーアカウントを作成することがよくあります。アカウント番号をクリックし、さらにどのユーザーアカウントが不正なアカウントだと確認します。 Windows Server 2008システムが不正なアカウントによって作成されたイベントをネットワーク管理者に自動的に通知するには、対応するシステムのタスクスケジューラサービスが通常の実行状態にあることを確認する必要があります。

まず、Windows Server 2008システムのデスクトップにある[開始] /[実行]コマンドをクリックし、[システムの実行]ダイアログボックスで、文字列コマンド&secdol.mscを実行します。サーバーシステムのローカルセキュリティポリシーコンソールウィンドウを開きます。
図4監査アカウント管理

次に、コンソールウィンドウの左側の領域を表示し、[セキュリティ設定]、[ローカルポリシー]の順に展開します。 < Audit Policy>;ブランチオプション、対応する[Audit Policy]ブランチオプションの対応する領域で、[Audit Account Management]ポリシーオプションをダブルクリックして、図4に示すようにポリシーオプション設定を開きます。ダイアログボックスで[成功]オプションを選択し、[OK]ボタンをクリックしてポリシーオプション設定ダイアログボックスを閉じます。これにより、ユーザーアカウントの作成が成功したか失敗したかに関係なく、Windows Server 2008システムではユーザーアカウント作成イベントを自動的に記録する。

ユーザーアカウント作成イベントの内容をネットワーク管理者に自動的に通知するために、我々はまた、追加イベントを実施するための自動警報タスクプランを必要としています。自動アラームタスクを添付するときは、まずWindows Server 2008システムデスクトップの[スタート]ボタン、[管理]、[サーバーマネージャー]の順にクリックして、対応するシステムを開きます。サーバーマネージャのコンソールウィンドウ、コンソールウィンドウの左側にある[診断]、[イベントビューア]、[システムログ]の順にクリックし、[システム]サブ項目をクリックします。イベントの内容が見つからない場合は、ユーザーアカウント作成イベントが表示されるように、手動でサーバーシステムにユーザーアカウントを手動で作成する必要があります。イベントビューア内

ユーザーアカウントを右クリックしてイベントを作成し、ポップアップショートカットメニューから[このイベントにタスクを追加]コマンドを実行して、タスクプランの追加ウィザードダイアログボックスを開き、新しいタスクの名前を設定します。たとえば、ここでは新しいタスクに「自動アラームユーザーアカウント作成状況」という名前を付け、図5に示す設定ダイアログボックスが画面に表示されたら、[メッセージを表示]オプションを選択してからアラームを設定します。タイトルと内容、ここではタイトルを「自動アラームユーザーアカウント作成状況」に設定し、アラーム内容を「サーバーシステムに不正なアカウントが作成されている可能性があります。関連イベントを直ちに処理するにはネットワーク管理者にお願いします」を設定します。最後に、[完了]ボタンをクリックして、Windows Server 2008システムが監査機能によって記録されたユーザーアカウントの作成をネットワーク管理者に自動的に報告できるようにします。
図5基本タスクの作成ウィザード

リモートデスクトップモードでサーバーシステムにユーザーアカウントを作成しようとすると、Windows Server 2008のシステム画面にネットワークに通知するための自動アラームプロンプトウィンドウが表示されます。管理者は、「サーバーシステムに不正なアカウントが作成されている可能性があります。直ちに関連イベントを処理するようネットワーク管理者に依頼してください。」これは、誰かがサーバーシステムにユーザーアカウントを密かに作成したことを意味します。アラームプロンプト情報は、最初に関連する問題を解決するための対策を講じることで、Windows Server 2008サーバーシステムを不正な攻撃から保護します。