Windowsファイル/フォルダADドメインのメンバーの場合、監査が機能しない
ドメイン管理者のメンバーによるすべてのアクセス(読み取り、書き込み/変更、作成、削除)がログに記録されるように、Windows7-10ワークステーションのファイル/フォルダー監査を実装する必要があります。
グループポリシーで「オブジェクトアクセスの監査」を有効にしましたが、有効になっています(rsop.msc)。
次に、テストフォルダーの監査プロパティを設定します。
フォルダを右クリック>プロパティ>セキュリティ>詳細>監査タブ>続行>追加>ドメイン管理者>すべての成功と失敗をチェック:
上記の監査プロパティの設定(「オブジェクトの監査設定が変更されました」など)のセキュリティイベントログにいくつかのエントリが表示されますが、そのフォルダ内のファイルを変更または削除すると、セキュリティでイベントが生成されません。ログ。また、監査設定で「ドメイン管理者」の代わりに「全員」を使用しようとしましたが、違いはありませんでした。
上記のテストは、すべての更新プログラムを含むWindows 7 Pro x64SP1で行われます。
何が足りないのですか?監査を希望どおりに機能させるにはどうすればよいですか?
-アップデート1 ---
ADドメインのメンバーではないWindows7とWindows10のマシンでテストしたところ、それは魅力のように機能しました!
これは、「オブジェクトアクセスの監査」が有効になっていないかのようです(rsop.mscと「gpresult/z」の両方で「成功、失敗」と表示されている場合でも)。
GPOで他に何かする必要があることはありますか、それともこれが有効にならない原因は何ですか?
最初に、ローカルポリシーまたはドメインポリシーのいずれかから監査をオンにして、監査するマシンに適用する必要があります。ポリシーを設定したら、監査するすべてのものに対して監査を構成する必要があります。これにより、イベントログへのイベントの追加が開始されます。
それが配置されたら、監視するフォルダに移動し、右クリックしてプロパティに移動します
[セキュリティ]タブ-> [詳細設定]-> [監査]タブ-> [編集]-> [追加]->次に、そのフォルダーにアクセスできるグループを追加します->監査するイベントを選択して[OK]をクリックします-> [既存の継承可能なすべての監査エントリを置き換える]を選択して、すべてのサブフォルダーとファイルに監査を適用し、[OK]をクリックします
Windows7およびWindowsServer 2008 R2では、成功と失敗を追跡できる監査設定の数が53に増えました。このステップバイステップガイドでは、高度なWindows7およびWindowsServer 2008R2のセキュリティを設定するプロセスを示します。テスト環境でのポリシーインフラストラクチャの監査。また、いくつかの代表的な高度なセキュリティ監査ポリシー設定を構成するプロセスについても説明します。 https://technet.Microsoft.com/en-us/library/dd408940(v = ws.10).aspx
さらに、ファイルの削除、アクセスの拒否、読み取り/書き込み、特定のユーザーまたはファイルへのアクセスなど、事前に定義されたアクセスイベントに関する自動電子メールアラートを取得するには、これからヘルプを取得します 監査ソリューション 。
ありがとう、
私はついにこの記事で何が起こっているのかを見つけました:
advanced Audit Configuration Policyの適用を開始するとすぐに、レガシーポリシーは完全に無視されます。
GPOで高度な監査構成を使用しているため、従来の「監査オブジェクトアクセス」が無視されていました。
代わりに、オブジェクトアクセス監査に高度な監査構成を使用するように切り替えましたが、正常に機能するようになりました。