Windows Server 2008 Active Directory監査 ~セミナーでご指摘いただいた内容~

  • Article

先週金曜日、Windows Server 2008 Active Directory をベースにした IT Pro 道場を実施しました。

ご参加いただいた皆様、どうもありがとうございました!!

このセミナーは6月に実施予定で、私の骨折・入院で延期にしてしまい、ようやく実施にこぎつけたというものです。私の中では昨年度の仕事の残りとして非常に気になっていたので、これでようやく気持ちの上でも新しい年度へとシフトすることができます。

※ 「6月だったら行けてたのに・・・」という方もいることでしょう。本当にごめんなさい<(_ _)>
※ IT Pro道場は、アンケートに必要ないと書かれたらもうやらない、もっとやれと書いてあったら頑張ると言い続けていますが、今回ももっとやれという声を多くいただいたようなので、また実施のチャンスはあると思います。是非その時にお越しください。

さて、今回のIT Pro道場には、(Windows 2000 Server Beta3 の頃)私にActive Directory を教えてくれた先生にもご参加いただきました。先生の前での説明、作ったばかりでどうなるかわからない新しいコンテンツ、DEMO環境がうまく動かずぎりぎりまで準備がかかってしまったなど、もろもろが重なって、すごく緊張をしました。

そして、終わった後に間違いを1つ指摘してもらいました。早いうちに気づけてよかったです。本当にありがとうございます!!

ご指摘の部分がきちんと動いたので、早速報告しておきます。
(道場へご参加いただいた方には別の方法でお知らせしました。。。っていつものところに書き込みました)

************************<Active Directory の監査:あくまでもCTPの段階での情報です>***************************

Windows Server 2003 までは、ディレクトリ サービスへのアクセス監査という1つだったものが、Windows Server 2008 では4つのサブカテゴリに分かれました。細かく設定できるという利点の代わりに、(というか現時点でそうなっているだけかもしれませんが、)これらのサブカテゴリに対して監査を有効にするというコマンドラインでの作業が必要になっています。

※昨日の私の説明ではこの部分が抜けてしまっていました。

よって、実際にサブカテゴリに対して監査を設定しようとすると、例えば、こんな作業が必要となります。

①監査ポリシーを有効にする
②コマンドにより、サブカテゴリを設定  auditpol /set /subcategory:"ディレクトリ サービスの変更" /success:enable =抜けていた部分
③オブジェクトの監査設定

詳しく知りたい方はこちらをご覧ください。
Windows Server 2008 Beta 3 Auditing AD DS Changes Step-by-Step Guide

この設定が終わった後、ユーザーのプロパティを変更してイベントビューアのセキュリティログを見ると、ちゃんと「更新前属性の削除ログ」と「更新後属性の追加ログ」の2つが表示されました。もちろん、オブジェクト名も、操作をしたユーザーも、そして時刻も表示されていたので、「いつ誰が何をやったので、何がどうなったか」までわかるようになっています。

プロパティ情報を削除しただけだったり、追加しただけだったりするとログは1つですが、変更だと2つになってしまいます。また、同じイベントIDであることにも注意が必要です。。。この変更がどれだけのインパクトを市場に与えるかは多くの方のご意見を聞いてから判断したいと思いますが、監査情報が企業にとって非常に重要であると考えている方々にとっては、Windows Server 2008 導入の理由の1つになるのかもしれません。

**********************************************************************************

で、上の情報は Windows Server 2008 のステップバイステップガイドに沿ったものですが、これには続きがありまして、私もいろいろと調べていてこんなことがわかってきました。

· ①だけではログが取れず

· ①と③を組み合わせると、ディレクトリ サービス アクセスのログは取れるが、変更した内容はわからない

· ①②③ではなく、②だけ設定すれば、ディレクトリ サービスの変更というプロパティの内容を含むログが取れる

ということで、②だけで良さそうなのです。
ただ、②はコマンド設定なので、もう少し違う方法が出てきてほしいところではあります。そして ②の auditpol コマンドを利用する際には以下の私の失敗談を読んでからにしてもらったほうがよいです。

まず、②のauditpol というコマンドで設定した内容を削除しようとして、次のコマンドをたたきました。

auditpol /clear

Yes か Noか聞かれるので気にせずYesにしたら、デフォルトで設定されている23か所の監査設定まですべて無効にされてしまいました(^_^;)
ちなみに、Clear しても、ポリシー変更の監査だけは効いているようですが、デフォルトに戻すコマンドが見当たらなかったので、auditpol コマンドは気を付けて実施した方が良さそうだと感じました。もちろん、触らない方が良いということではありません。例えば、auditpol コマンドには、現在の設定を Backup したり Restore したりする機能がついています。

auditpol /backup /file:<ファイル名>
auditpol /restore /file:<ファイル名>

(ファイルの拡張子は、サンプルではcsvを使ってましたが、私はそれを知らないままtxtで実行してうまくいきました)
ということで、これでバックアップしたり戻したりできることも確認できたので、auditpol コマンドを触る前と後には設定情報のバックアップをお勧めします。

*******
長々と書いてしまいましたが、多くの方とディスカッションをしながら情報の整理をしていければと思っています。