アスキービジネス

ホーム > アスキービジネス > エンタープライズ

連載コラム

コラム

佐野 央の
プチ管理者は本日も大忙し

2006年5月2日  文●佐野 央

Case 8
リソースアクセスを監査する(3/3)




■実際にやってみる:ファイルサーバのアクセスログを取得する

アドバイザー佐野:それでは実際にWindows Server 2003の標準機能イベントビューアのセキュリティログを利用して、テスト用ファイルサーバの監査ログを取得してみましょう。検証環境と設定は以下のとおりです。

■検証環境
テストドメイン		:r-sya.local
テスト用ファイルサーバ	:D-Files
(Windows Server 2003 Service Pack1)
テスト用クライアントPC	:RD001
(Windows XP Service Pack 2)
監査を実施するフォルダ	:D:\Share
共有アクセス権		:Administrator、YujiT

■検証項目
重要な共有フォルダを利用した人物を監査する

アドバイザー佐野:手始めにイベントビューアのセキュリティログを確認してみましょうか。プチアド君、Administrator アカウントでファイルサーバにログオンしてくれますか。

プチアド:ええっと、イベントビューアのセキュリティログを利用するのですよね? ちょっと開いてみます。あ、あれ? 佐野さん、すでにログが取得されていますよ(画面1)!

セキュリティログ
画面1●セキュリティログ(画像クリックで拡大)

アドバイザー佐野:はい。実は、「このコンピュータでどの種類の監査ログを取得するか」という設定は、グループポリシーの[監査ポリシー]で設定されています。次の手順で[監査ポリシー]を開き、中を確認してみましょう。

■手順
1.[スタート]メニューの[ファイル名を指定して実行]から、“mmc”を実行し、管理コンソールを開く

2.管理コンソールの[ファイル]メニューから[スナップインの追加と削除]を実行し、[追加]ボタンをクリック(画面2)

スナップインの追加と削除
画面2●スナップインの追加と削除

3.[スタンドアロン スナップインの追加]画面で、[グループ ポリシー オブジェクト エディタ]スナップインを選択し、[追加]ボタンをクリック(画面3)

[グループ ポリシー オブジェクト エディタ]を選択
画面3●[グループ ポリシー オブジェクト エディタ]を選択

4.[グループ ポリシー ウィザードの開始]画面で、編集するグループポリシーオブジェクト(GPO)に[ローカルコンピューターポリシー]が指定されていることを確認し(画面4)、[完了]、前の画面に戻って[閉じる]ボタンをクリック

グループ ポリシー ウィザード
画面4●グループ ポリシー ウィザード(画像クリックで拡大)

5.[スナップインの追加と削除]画面で[ローカル コンピュータ ポリシー]が追加先に登録されていることを確認し[OK]をクリック(画面5)

登録の確認
画面5●[ローカル コンピュータ ポリシー]が追加先に登録されていることを確認

6.コンソールツリーに戻ったら、[コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシーの設定]-[監査ポリシーの設定]を開く(画面6)

監査ポリシーの設定
画面6●監査ポリシーの設定(画像クリックで拡大)

豆アド:ふむふむ、すでにいくつかの監査ポリシーが設定されていますね。

アドバイザー佐野:はい、そうですね。それぞれの設定が何を監査しているのかについては、後でWindows Server 2003のヘルプ 「監査ポリシー」の項※を参照してください。今回は「ファイルサーバ上の重要な共有フォルダを利用しているのは誰か」を監査します。[オブジェクト アクセスの監査]を開き、「成功」のチェックボックスにチェックをします。分かりやすくするため、その他の監査ポリシーはすべて無効にしておきましょう(画面7)。設定が終了したら、グループポリシーオブジェクトエディタを終了してください。

※Windows Server 2003 オンラインヘルプ
「監査ポリシー」
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
ja/library/ServerHelp/6847e72b-9c47-42ab-b3e3-691addac9f33.mspx

オブジェクト アクセスの監査
画面7●ここでは [オブジェクト アクセスの監査]を実行する。 [オブジェクト アクセスの監査]を開き、「成功」のチェックボックスにチェックを入れる(画像クリックで拡大)

プチアド:はい、終了しました。

アドバイザー佐野:では、現在設定した監査ポリシーを即座に対応させるため、コマンドプロンプトから“gpupdate /force”コマンドを実行します。

プチアド:はい、こちらも正常に終了しました(画面8)。

監査ポリシーの更新
画面8●監査ポリシーを更新し、正常終了を確認する(画像クリックで拡大)

アドバイザー佐野:今度は監査の対象となる共有フォルダで、どの操作に対する監査を行なうのか設定しましょう。

■手順
1.を右クリックし、[プロパティ]を開く

2.[セキュリティ]タブを開き、[詳細設定]をクリック(画面9)

[セキュリティ]タブの[詳細設定]
画面9●[セキュリティ]タブの[詳細設定]をクリック

3.[セキュリティの詳細設定]画面から[監査タブ]を開き、[追加]ボタンをクリック(画面10)

[監査]タブを開き[追加]ボタンをクリック
画面10●[監査]タブを開き[追加]ボタンをクリック(画像クリックで拡大)

4.[ユーザー、コンピュータ またはグループの選択]画面の「選択するオブジェクト名を入力してください」テキストボックスにDomain Usersグループを指定して[OK]をクリック(画面11)

Domain Usersグループを指定 alternative
画面11●Domain Usersグループを指定(画像クリックで拡大)

5.[Shareの監査エントリ]画面で、監査の対象となるアクションを選択し[OK]をクリック(画面12)

監査対象のアクションを選択
画面12●監査対象のアクションを選択

アドバイザー佐野:さて、設定が終わったらイベントビューアの画面に戻ります。結果を見やすくするために、古いセキュリティログは一度破棄してしまいましょう。準備ができたら、豆アド君、RD001にAdministratorでログオンしてD-Filesのに接続し、新しくファイルを作ってみてください。

豆アド:はーい、接続OK、作業完了でーす!

アドバイザー佐野:プチアド君、D-Filesのセキュリティログを最新の状態にして、イベントを確認してください。

豆アド:プチアド先輩、どうですか? ちゃんとログが取れていますか?

プチアド:うん、大丈夫。Administratorのオブジェクト<D:\Share>に対するアクセスの成功(画面13)について報告されています。

ログの確認
画面13●監査対象とした共有フォルダへのアクセスの成功を確認する。

アドバイザー佐野:どのような操作がなされたのかは、各イベントの説明欄を確認すると分かります。たとえば、新規ファイル(新規Microsoft Word 文書.doc)を作成したときは、以下のようなログが記録されています(画面14)。

新規ファイル作成時のログ
画面14●共有フォルダに新規ファイルを作成。

【新規ファイル作成時のログ】 ( 新規ファイル作成時のログのサンプル

アドバイザー佐野:各種セキュリティイベントIDの意味など、イベントの詳細については、前述のWindows Server 2003 ヘルプ「監査ポリシー」や、マイクロソフトの技術情報「Windows 2000 セキュリティ イベントの説明」などを参考にするとよいでしょう。

Windows 2000 セキュリティ イベントの説明(パート1)
http://support.microsoft.com/default.aspx?scid=kb;ja;JP299475

Windows 2000 セキュリティ イベントの説明(パート2)
http://support.microsoft.com/kb/301677/ja

プチアド:それにしても取得されるログはずいぶんと多いのですね。

アドバイザー佐野:はい。今回は検証ということで共有<D:\Share>に対するすべての操作ログを取得しましたが、本来であれば、

1. 監査すべきオブジェクトの種類を決定する
2. 監査対象のオブジェクトの種類ごとに、監視するアクセスの種類 (成功、失敗、または両方) を決定する

の2を実施し、取得するべきデータを必要最低限に絞り込む必要があります。必要以上に監査の範囲を広くすると、利用しきれないほどの大量のデータが集まってしまします。また、ログサイズが最大値に達したとき、古いログが新しいログで上書きされたり、それ以上ログが取得できなかったりで、肝心のトラブル発生時のログが確認できない、なんてことになりかねませんからね。

プチアド:ふぅむ。なんでもログをとっておけばいいってものじゃ、ないのですね。

アドバイザー佐野:それに、監査ログには、「誰が・どのオブジェクトに・何をして・その結果どうなったのか」といった内容が記録されます。裏を返すと、監査ログを分析することで、「誰が・どのオブジェクトに・何をする権限を持っているのか」というアクセス権の設定内容、つまりセキュリティに関する情報が分かってしまうということです。そのため、Windows Server 2003では、監査ログを閲覧(管理)する権利をAdministratorsグループにだけ与えています。

プチアド:ははぁ。つまり、監査ログも、他の機密データと同様に、厳重に保護しなければならないってことなのですね?

豆アド:なるほど。佐野さん、今日はWindows Server 2003の監査ログを利用しましたけど、他にはどのような監査方法や対象があるのですか?

アドバイザー佐野:今回検証したのは、共有フォルダという「オブジェクト」に対する監査ですが、他にも、ドメインログオンの監査、システムの起動やシャットダウンの監査、グループポリシーの変更に関する監査などがあります。監査の規模も、企業が独自に行なう監査のほかに、システム監査法人などの第三者機関に依頼してシステム全体に実施する大がかりな規模の監査もあり、利用するツールも、OSの標準機能から有償の専用ツールまでさまざまです。

プチアド:監査ログの取得を行なう場合は、実施対象を明確にし、目的に合った監査方法をよく検討し、監査ログ自体の管理もしっかりと行なうことが重要なのですね。

戻る

佐野 央の「社内システム導入を成功させる方法」トップへ佐野 央のプチ管理者は本日も大忙し

アスキービジネスのおすすめ

セキュリティ・レビュー 【アスキービジネス 新刊ムック】
セキュリティ・プロのための技術専門誌
「セキュリティ・レビュー」誕生!

SaaS【ASCII.jp SaaS・ASP】
効果的な導入から使いこなしまで
SaaSのすべてがここでわかる!

登録は無料!今すぐ登録する方はこちらから 利用者登録がお済みの方はこちらからログインできます
最新ニュース

| ASCII.jp | デジもの | Mac/iPod | 自作PC | 科学技術 | ゲーム・ホビー | 話題 | 情報システム | ビジネス |

| 価格比較 | Microsoft | キャリア | SaaS・ASP | VPN | SHARP | Panaspot | 富士通 | 住まい情報局 |

| EPSON DIRECT | Wireless Gate | アキバ | ムービーフラッシュ | SpeedGun | デジタル用語辞典 | Blogmag | アスキー365 |

サイトポリシー | プライバシーポリシー | 運営会社 | お問い合わせ

Copyright (C) 2005-2008 ASCII MEDIA WORKS. All rights reserved.