ファイルやフォルダのセキュリティ管理を厳重にするためには,利用者とユーザー・アカウントを1対1で対応させ,適切なアクセス制御を設定するのが望ましい。また,誰が,いつファイルやフォルダにアクセスしたのか記録に残しておくことで(これを「監査」と呼ぶ),後からユーザーの操作をトレースしたり,不正アクセスを検出したりできる。
Windows Server 2003では,[監査ポリシー]の中の ”オブジェクト アクセス”を有効にすると,ファイルやフォルダに対するアクセスをセキュリティ・ログに記録できる。このポリシーを有効にし,「成功」 「失敗」のいずれか,あるいは必要があれば両方にチェックをつける(図1)。
|
|
図1●監査ポリシーの設定 [画像のクリックで拡大表示] |
さらに,対象となるファイルを右クリックして[プロパティ]-[セキュリティ]-[詳細設定]を選択し,[監査]タブで必要なオプションを構成する(図2)。この画面は,ファイルやフォルダに対するNTFSアクセス許可を設定するものである。ここで[監査]タブを開いて[追加]ボタンをクリックし,監査対象とするユーザーやグループ,操作内容といったオプションを設定する。特に限定しないのであれば,ユーザーとして「Everyone」,操作として「フルコントコロール」を指定する。
|
|
図2●フォルダの監査設定画面 [画像のクリックで拡大表示] |
なお監査を有効にするには,ボリュームがNTFS でフォーマットされている必要がある。
ここで,監査ポリシーについて確認してみよう。監査ポリシーを有効にすると,コンピュータの様々なイベントの成功や失敗を,セキュリティ・ログに記録できる。監査ポリシーは,Active Directory環境ならグループ・ポリシーで,スタンドアロン環境ならローカル・セキュリティ・ポリシーで設定できる。監査ポリシーには以下のものがある。
■アカウント・ログオン・イベントの監査
ユーザーがログオンすると,認証に使用したコンピュータにログが記録される。ドメイン・ユーザー・アカウントを使用するとドメイン・コントローラに,ローカル・ユーザー・アカウントを使用するとコンピュータのローカルにログが残る。
■アカウント管理の監査
ユーザーやグループ・アカウントに関する作成,変更,削除などの管理操作を記録する。
■オブジェクト・アクセスの監査
ファイルやフォルダ,レジストリ・キーやプリンタなどに対するアクセスを記録する。ログをとるには,対象となるオブジェクトのプロパティで「監査」の設定をする必要がある。
■システム・イベントの監査
コンピュータの再起動やシャットダウン,システム時間の変更など,システム・セキュリティまたはセキュリティ・ログに影響するイベントを記録する。
■ディレクトリ・サービスのアクセスの監査
Active Directoryオブジェクトに対するアクセスを記録する。ログをとるには,対象となるActive Directoryオブジェクトのプロパティで「監査」の設定をする必要がある。
■プロセス追跡の監査
プログラムのアクティブ化やプロセスの終了などのイベントを記録する。有効にするとすべてのプロセスについてログが残るので,パフォーマンスが低下する。
■ログオン・イベントの監査
ログオン,ログオフイベントを記録する。「アカウント ログオン イベントの監査」とは異なり,ログオン対象のコンピュータにログが残る。
■特権使用の監査
ファイルやフォルダのバックアップや復元など,ユーザー権利を使用するイベントを記録する。
■ポリシーの変更の監査
ユーザー権利の割り当てポリシー,監査ポリシーの変更や信頼関係の作成や削除のイベントを記録する。
なお,グループ・ポリシーの設定画面で各監査ポリシーを右クリックして [ヘルプ] をクリックすると,セキュリティ・ログに記録されるイベントのIDを調べられる。
監査ポリシーを利用する際は,ポリシーを有効にしてログをとるだけでなく,そのログをどのように管理するのか(保存期間,保存方法),どのように活用するのか(誰が,どれくらいの頻度でチェックするのか)をあらかじめ決めておく必要がある。監査対象となるサーバーなどが多い場合は,「Microsoft Operations Manager」といったサーバー管理ソフトを利用して,イベント・ログの集約を図るのもよいだろう
グループ・ポリシーを使えば,イベント・ログの最大サイズや保存日数,保存方法などについて一元管理できる。
