PR

【問題】
 あなたはWindows Server 2008ベースのActive Directoryドメイン管理者である。あなたはこれから,Active Directoryユーザー・オブジェクトの属性を変更する予定である。古い属性値と新しい属性値を監査ログへ記録するための適切な監査構成を選びなさい。

A. 「ディレクトリ サービス アクセス」サブ・カテゴリを有効にする
B. 「ディレクトリ サービスのアクセスの監査」監査ポリシーを構成する
C. 「ディレクトリ サービスの変更」サブ・カテゴリを有効にする
D. 「ディレクトリ サービスのレプリケーション」サブ・カテゴリを有効にする

正解:C

【解説】
 Windows Serverで[監査]機能を有効にすると,コンピュータ上のオブジェクトに対して行われた操作をセキュリティ・ログに記録できる。ただし,Windows Server 2003では,Active Directoryオブジェクトに対する変更を監査しても,対象となった属性値そのものは分からなかった。

 Windows Server 2008では,Active Directoryに対する監査機能が強化された。オブジェクトの属性に対し変更が正常に行われた場合,古い属性値と新しい属性値の両方を記録できる。Windows Serverの監査ポリシーを詳しく説明しよう。

Windows Server 2003の監査ポリシー

 Windows Server 2003では,[監査ポリシー]の中の「ディレクトリ サービスのアクセスの監査」を使って,Active Directoryオブジェクトに対するアクセス記録を,セキュリティ・ログに残せる。通常,このポリシーはグループ・ポリシー・オブジェクト「Default Domain Controllers Policy」で設定する。

 監査は2段階で設定する。まず,監査ポリシーを有効にし,「成功」または「失敗」,必要なら両方を有効にする。次に,対象となるActive Directoryオブジェクトのプロパティを開き,[セキュリティ]タブから[詳細設定]を選んで[監査]タブで必要なオプションを構成する。ユーザーや操作内容を指定することも可能だが,特に限定しないのであれば,ユーザーとして “Everyone”,操作として “フルコントコロール” を指定すればよい。[Active Directoryユーザーとコンピュータ] では,既定でセキュリティ・タブが表示されないが,[表示]メニューから[拡張機能]を有効にすると利用できる。

 以上で,監査設定は終了である。しかし,実際の監査結果は,「イベントID 4662」として,オブジェクトの属性に対する変更があったことしか分からない。残念ながら,具体的にどの属性が,どの値からどの値に変化したかは記録されないのだ。これでは,セキュリティの記録として不十分である。Windows Server 2008でも「ディレクトリ サービスのアクセスの監査」を使う限り,この状況は変わらない。

Windows Server 2008では変更した値の記録も可能

 Windows Server 2008では,監査ポリシーのサブ・カテゴリを有効にすることで,属性値の記録も取れるようになった。サブ・カテゴリを有効にするためのGUIは用意されていないため,以下のコマンドを使う。

auditpol /set /subcategory:"ディレクトリ サービスの変更" /success:enable /failure:enable

 サブ・カテゴリ名が日本語であることに注意して欲しい。サブ・カテゴリの一覧は以下のコマンドで表示できるので,表示結果をコピーすると便利だろう。

auditpol /list /subcategory:*

 サブ・カテゴリ「ディレクトリ サービスの変更」は,親カテゴリ「DSアクセス」(「ディレクトリ サービスのアクセスの監査」と同じ)に属すが,親カテゴリを有効にする必要はない。また,「ディレクトリ サービスのアクセスの監査」と同様,Active Directoryオブジェクトに対する監査設定が必要である。

 実際にActive Directoryオブジェクトに監査を設定し,属性を変更してみると,イベントID 5136が記録された(図1)。なお,属性の変更は,属性値の削除と追加の2つの連続イベントとして実行されるので,ログを見るときは注意して欲しい。また,属性の追加と削除はいずれも「オブジェクトの変更」として記録され,イベントIDでは区別できない。「ディレクトリ サービスの変更」に関係する主なイベントIDを図2に示す。

図のタイトル
図1●ディレクトリ・サービスの変更によって,古い属性値が記録される
[画像のクリックで拡大表示]
 
図2●ディレクトリ監査の主なイベントID
イベントID 操作
5136 オブジェクトの変更(Modify)
5137 オブジェクトの作成(Create)
5138 オブジェクトの復旧(Undelete)
5139 オブジェクトの移動(Move)

監査ポリシーのガイドライン

 監査ポリシーを利用する際は,単に有効にしてログをとるだけでなく,そのログをどのように管理するのか(保存期間,保存方法),どのように活用するのか(だれが,どれくらいの頻度でチェックするのか)をあらかじめ決めておく必要がある。

 監査量が多い場合は,詳細な情報を取得できるがログ・サイズが大きくなる上,パフォーマンスに悪影響を与えることもある。逆に,監査量が少ない場合は,必要な情報が取得できない可能性がある。現実の運用ルールに合った監査を設定して欲しい。