[オブジェクト アクセスの監査] を有効にした状態で Windows Firewall ログの書き込みが行えない。

こんにちは。
Windows プラットフォーム サポートの横山です。

今回は [オブジェクト アクセスの監査] を有効にすると、リムーバブル記憶域として接続した USB メモリに対する Windows Firewall ログの書き込みに失敗する事象についてお伝えいたします。

本事象について、[オブジェクト アクセスの監査] を有効化した際におけるリムーバブル記憶域に対する OS の挙動と Windows Firewall サービスの挙動とあわせてご説明いたします。

1. [オブジェクト アクセスの監査] とリムーバブル記憶域について
2. Windows Firewall サービスと Restricted SID について
3. 対処法について

1. [オブジェクト アクセスの監査] とリムーバブル記憶域について
まず、[オブジェクト アクセスの監査] を有効化した場合、Portable Device Enumerator Service (wpdbusenum) がリムーバブル記憶域へのアクセス時にデバイスのアクセス コントロール リスト (ACL) を設定し、各デバイスへのアクセス制御を行います。

ユーザーやアプリケーション、プロセスが ACL の設定されたデバイスへのアクセスを試みた際には、アクセス権のチェックが行われます。
対して、[オブジェクト アクセスの監査] が設定されていない場合には、アクセス権のチェックが行われません。

なお、Windows Server 2008 および Windows Server 2008 R2 では、リムーバブル記憶域へのアクセス時にアクセス権のチェックを行いません。

2. Windows Firewall サービスと Restricted SID について
Windows OS 上のサービスの SID には以下の 3 つのタイプがあります。

a. None
b. Unrestricted
c. Restricted

None では、サービスの起動時にサービスの SID がサービス プロセス トークンに追加されません。
Unrestricted では、サービスの起動時にサービスの SID をサービス プロセス トークンに追加します。
Restricted では、サービスの SID の他に制限された SID をサービス プロセス トークンに追加します。

殆どのサービスは Unrestricted で動作いたしますが、Windows Firewall サービスは Restricted で動作いたします。Restricted で動作しているサービスは [オブジェクト アクセスの監査] 有効化時におけるリムーバブル記憶域へのアクセス時に追加でのアクセス権チェックが行われます。

3. 対処法について
今回の事象は、本アクセス チェックに失敗しているために発生しています。

上記 1. でお伝えいたしました通り、[オブジェクト アクセスの監査] 有効化時におけるリムーバブル記憶域へのアクセス時のアクセス権チェックは Windows Server 2012 以降で実施されます。
また、Windows Server 2008 以降の OS で Windows Firewall サービスが Restricted サービスとして動作します。

そのため、本事象は Windows Server 2012 / Windows Server 2012 R2 / Windows Server 2016 の OS で発生します。

Windows Firewall サービスによるログの書き込みを行うための対処法は以下のいずれかとなります。

a. [オブジェクト アクセスの監査] を無効にする。
b. リムーバブル記憶域を Windows Firewall ログの保存先に指定しない。

ご不便をおかけし、大変申し訳ございませんが、Windows Firewall ログを記録される際には、上記いずれかの対処法をご実施ください。