さてさて、今回もホッテントリメーカーを使用しています。
企業においは、AD を使用していることだと思います。そして、監査の設定を行っていることでしょう!Windows Server 2008 から監査設定が変わりました。今まではカテゴリーごとの監査設定を行っていましたが、Windows Server 2008 より「サブカテゴリー」が創設されました。しかし、このサブカテゴリー設定はグループポリシーによる設定ができなかったのです。それが、Windows Server 2008 R2 より、グループポリシーによる設定が可能になりました。ということで、Windows Server 2012 R2 で検証を行ったので備忘録として載せておきます。
まずは、おさらい。
グループポリシーの設定には、ポリシーと基本設定がありますが、ポリシーの場合レジストリにポリシー設定が保管される領域があり、対象のマシンはそのレジストリ領域をみて実際のレジストリ設定を変更します。よって、ポリシーによって適用された内容はユーザーが変更することはできません。基本設定はポリシーとは異なり、実際のレジストリ領域を書き換えます。よって、ユーザーは適用された設定を変更することができます。
これらのことから、ポリシーによって変更された内容は、ポリシーを削除すると元の状態に戻りますが、基本設定はレジストリ領域を直接書き換えているので元の設定に戻ることはありません。このような動作のことをタトゥー効果があるを言います。
ここからが、本題。
以前の監査設定は、「コンピューターの構成」「ポリシー」「Windows の設定」「セキュリティの設定」「ローカルポリシー」「監査設定」よりカテゴリーごとの設定を行います。
しかし、Windows Server 2012 R2 のコンピューターではデフォルトのセキュリティ設定はサブカテゴリーごとの設定がされているのです。
それでは、基本的な動作を検証します。まず、カテゴリことの設定を行います。すると、どのように設定されるか?今回は、システムイベントの監査で「成功」を設定します。
そうすると結果は・・・
このように、カテゴリに対して設定した場合にはすべてのサブカテゴリに対して設定されます。しかし、本来はサブカテゴリごとの設定を行いたいのではないでしょうか?実は Windows Server 2008 の時にはポリシーによる設定はできませんでした。ですのでスタートアップスクリプトに Auditpol コマンドを入れ込んで設定するしかなかったのです。これが、Windows Server 2008 R2 から、グループポリシーによる制御ができるようになりました。
デフォルトではすべて未構成になっています。では、サブカテゴリの設定をします。今回は「DS アクセス」の「詳細なディレクトリサービスレプリケーションの監査」の「成功」を設定します。
では、どのように適用されるか?
確かに、サブカテゴリーの設定は適用されているのですが、未構成だったカテゴリー&サブカテゴリーが監査なしに変更されます。これはこれで、困ったことになるのでは・・・要するに、サブカテゴリーの設定を行うとすべての監査設定は監査なしがデフォルトに変更され、「サブカテゴリーの設定」で設定した項目のみが反映されます。
そこで、元の設定に戻したいと考えます。
たとえば、このサブカテゴリーの設定はポリシーの設定なので、GPOのリンクをはずせは元の状態に戻るはず!
なんとすべての項目が「監査なし」になります。デフォルトの監査設定ももどりません。今度は、サブカテゴリーの設定を未構成にしカテゴリごとの設定を行います。先ほどと同じようにシステムイベントの監査で「成功」を設定します。
しかし、カテゴリーの設定も反映されません。
これはどうなっているの?
実は、サブカテゴリーの設定を行うと Sysvol 配下に「audit.csv」というファイルが生成されます。
C:WindowsSYSVOLsysvolcontoso.comPolicies{022F8D05-EC21-46D1-B171-9DF1AA3CE621}MachineMicrosoftWindows NTAudit
この「audit.csv」が存在するとカテゴリーの設定は一切反映されません。よって、このファイルを削除します。
これでカテゴリーの設定が反映されました。しかし、デフォルトで設定されていた内容は戻りません。
まとめ
必ず、デフォルト設定を保存しておきましょう。
auditpol /backup /file:c:default_pol.csv
もとに戻す場合は次のコマンド
auditpol /restore /file:c:default_pol.csv
