「監査」機能はWindowsのバロメーターのようなもので、コンピュータのあらゆる動きを理解し、この情報を使ってコンピュータシステムのセキュリティを維持し、トラブルシューティングを行うことができます。 Vistaでは、「監査」機能がこれまで以上に強力になっています。この記事では、Vistaでのアプリケーションについて説明します。 1.監査戦略の有効化いわゆる監査は追跡であり、対応する監査機能が有効になった後、システムは管理者が表示できるようにイベントプロセスを追跡し記録します。監査機能を使用すると、コンピュータ上でユーザーが実行した操作を監視できるだけでなく、システムの動作状態に応じて障害を解消することもできます。ただし、監査をオンにすると、システムがイベントの記録と保存のためにリソースの一部を消費するため、システムのパフォーマンスが低下します。したがって、監査が有効になっている場合は、必要に応じて監査戦略を策定する必要があります。どのコンテンツを確認する必要があるか、監査ポリシーが適切に設定されているかどうか、ログにアクセスできるユーザー、ログの収集とアーカイブを担当するユーザー、ログバックアップのしくみ、ログの損失対処方法、ログの保存と確認の期間、ログの確認に必要なツールと対策、ログが見つかった後のセキュリティ上の問題への対処方法。このようにして初めて、システムパフォーマンスを見直すことのバランスをとることができます。 2、構成監査戦略監査は特定のイベントのプロセスを監視し、記録することであるので、結果はシステムのイベントログに保存されます。もちろん、適切な監査機能がオンになっていない限り、Windows Vistaはセキュリティログを記録しません。監査を有効にするには、スタート→コントロールパネル→システムとメンテナンス→管理ツールの順にクリックして、ローカルセキュリティポリシーコンソールを開きます。次に、「ローカルポリシー」→「監査ポリシー」で適切な監査ポリシーを見つけます。 Vistaで有効にできる監査ポリシーは9つあります。「監査特権の使用」。システム操作中にログイン、ログアウト、およびネットワーク以外の操作を実行するためのユーザーの権限を記録するために使用されます。監査アカウント管理は、作成、削除、ユーザーアカウントへの変更などのイベントを記録します。 「監査プロセス追跡」は、プログラムの起動、ハンドルハンドルのコピー、ファイル管理リソースへのアクセスなど、プロセスのバックグラウンド操作を追跡および記録します。さまざまな監査ポリシーを有効にする方法は似ていますが、どの監査ポリシーを有効にするかについては、それぞれのセキュリティニーズに応じて選択する必要があります。 (図1)
たとえば、ログインイベントを監査するには、ポリシーをダブルクリックして開き、イベントを含む監査の成功と失敗を確認して、最後に[修正]をクリックします。このようにして、Windows Vistaは、ユーザーのログイン成功やログイン失敗を含む、すべてのローカルユーザーアカウントのログインイベントの監査を開始し、検出システムの使用が不正にログインされハッキングされる可能性があります。 (図2)
3、監査レポートを表示する監査ポリシーが有効になると、システムは関連するイベントをシステムログに記録します。ログを表示したい場合は、イベントビューアで表示する必要があります。スタート→コントロールパネル→システムとメンテナンス→管理ツールの順にクリックして、イベントビューアコンソールを開きます。 Windowsログの下には、アプリケーション、セキュリティ、インストーラ、システム、イベントの転送など、複数のカテゴリがありますが、それぞれのカテゴリをクリックすると、中央のウィンドウにすべてのカテゴリが表示されます。イベント記録イベントレコードをダブルクリックしてレコードの詳細ウィンドウを開くと、ユーザーはイベントの発生元とイベント、イベントIDなどを知ることができます。特定の種類のイベントログを右クリックして、そのログに対して操作を実行します。たとえば、このカテゴリのイベントログをエクスポートするには[名前を付けてイベントを保存]を選択し、既存のイベントログをインポートするには[保存したログを開く]を選択します。あなたはすべての記録をクリアするために "Clear Logs"オプションを選択することができます;管理者は彼らが必要とする情報を多数の記録から見つける必要があります、あなたはイベントレベル、イベントID、キーワード、ユーザーなどに基づくスクリーニング(図3)
4、ファイルアクセスの監視ファイル監視は、管理者が共有フォルダを設定するなど、現実的には非常に実用的ですが、認識を超えて変更されました。ユーザはそのフォルダを操作してから、どのユーザがそれを行ったのかをさらに判断する。ファイルやフォルダの監視はNTFSファイルシステムに基づいているため、パーティションのフォーマットはこのフォーマットにする必要があります。最初に「ローカルセキュリティポリシー」の「監査オブジェクトアクセス」ポリシーを有効にし、正確に見つけるために、「成功」イベントのみを記録できます。次に、監視したいフォルダに移動し、右クリックして[プロパティ]を選択し、[セキュリティ]タブの[詳細設定]ボタンをクリックしてから[監査]タブを選択し、[続行]ボタンをクリックして開きます。 [追加]ボタンをクリックして、監査を追加するユーザーアカウントまたはユーザーグループの名前を入力します。次に、監査アイテムパネルで、ファイルの作成/データの書き込み、削除など、監視するアクションを確認します。ユーザーのすべてのアクションを監視したい場合は、フルコントロールを選択できます。最後に、[OK]ボタンをクリックして監査設定を完了します。 (図4)
このシステムは指定されたイベントをシステムログに記録します。タイムビューアの「Windowsログ」→「セキュリティ」で関連するレコードを見ることができます。もちろん、現時点でのイベント記録は非常に多く、我々は "filter"を通してフィルタリングすることができます。左側の「セキュリティ」を右クリックして「現在のログをフィルタ」を選択してフィルタウィンドウを開きます。コピーしたファイルを表示したいので、[フィルタ]タブの下のフィルタ設定を[イベントソースの選択]、[セキュリティの監査]、[タスクカテゴリ]、[ファイルシステム]、[イベントID]の順に選択し、4656を入力します。 「表示」、「OK」の順にクリックして終了します。このとき、Event Viewerの右側に表示されるのは、読み取られた各データの情報です。各項目をダブルクリックして詳細を表示します。オブジェクトの種類が「ファイル」の項目はファイルにアクセスできます。 frフォルダをコピーするために、ダブルクリックしてハッカーユーザーを開くことができます。 (図5)
まとめ:この記事では、システムセキュリティにおけるVistaの「監査」機能の適用例を説明するためにファイル監視を使用していますが、実際には非常に広範囲に適用されています。一般的には、最初に目的の「監査」ポリシーを有効にしてから、イベントビューアでそれを表示します。もちろん、「フィルタ」を柔軟に適用することで、表示する必要がある項目をすばやく見つけることができます。