システム ファイルの監査と更新プログラムについて

こんにちは。Windows プラットフォーム サポートの宮崎です。

今回はシステム ファイルの監査を設定する際の注意事項についてお伝えします。

[監査の機能]

監査の機能はシステムの動作を追跡するのに有効です。特にオブジェクト アクセスの監査の機能ではファイルやフォルダーへのアクセスについて監査できます。

セキュリティ監査の概要
https://technet.microsoft.com/ja-jp/library/dn319078(v=ws.11).aspx

オブジェクト アクセスの監査
https://technet.microsoft.com/ja-jp/library/mt634187(v=vs.85).aspx

ファイル、フォルダーの監査の機能は、以下の 2 つの設定によってご利用が可能となります。

  1. 監査ポリシーとしての設定
  2. ファイル、フォルダーへの監査の設定

今回のご紹介は項目 2 番のファイル、フォルダーに監査を設定する際の注意事項でございます。

[監査の設定]

通常、デスクトップなどの監査が設定されていない領域にファイルやフォルダーを作成しても監査の設定はなされません。一方、OS を構成するシステム ファイルでは既定で監査の設定が付与されていることが確認できます。

winload

ご利用いただく運用のシナリオによっては OS のシステム ファイルに対して監査の設定に追加、削除などの変更を行う場合がございます。この変更する操作自体は監査の機能のご利用用途としては、適切な内容でございます。

[更新プログラムの適用とその結果]

しかし、更新プログラムの適用によって該当のファイルに対して更新が行われた場合、事前に変更を行った監査の設定が元に戻ることがございます。更新プログラムの適用においては、更新対象となるファイルの情報を引き継ぐように動作いたしません。監査設定を戻すこと自体については意図的に設計された動作ではございませんが、更新プログラムの適用におけるファイルの置き換えなどの処理のため、動作の仕組みより結果的に発生する動作でございます。

[対処方法]

運用上のご要件により監査の設定を厳密に計画の上お使いいただいているお客様におかれましては、システム ファイルへの設定変更を監査の適用例としてご案内させていただいてる次第ではございますが、更新プログラムの適用を契機に監査の設定は復元されますため、更新プログラムの適用後は再度監査の設定を実施いただきますようお願い申し上げます。